一个笨拙的抵挡 DDoS 的方法

我的 vps 上架设的是论坛，我想到一个方法来抵挡 DDoS 攻击，下面是步骤：

1，事先给 TCP 连接数设一个上限，发现被突破了，就认定为有人在 DDoS。
2，检查当前所有 http 连接，如果是注册会员，则把相应 IP 送入紧急白名单。否则，断开连接。
3, 接收到新的 http 访问时，核对其 IP 是否在白名单里。如果不是，转向一个登录（或注册）页面，要求他 3 分钟必须登录进来，否则禁掉这个 IP。

这个方法的 bug，我现在想到有两个：
1，DDoS 的攻击者是不是能轻易伪造自己的 IP 呢，如果这样的话，这个方法就没意义了。
2，我 VPS 的防火墙禁了这些 DDoS 的 IP，是不是照样的产生流量。就是说，禁 IP 虽然能保全 VPS 自己，但网络端口照样有大量 IP 包涌过来(虽然我不收），网络照样被堵住？

我对 DDoS 不熟悉，这个方法是凭空想出来的。请大家轻拍～