如何减轻恶意流量产生的后端压力

我希望减少或减轻到达后端的恶意第 7 层流量（针对性攻击、一般恶意自动抓取）的影响，这些流量会使其变得非常缓慢甚至不可用。这涉及基于负载的攻击，如https://serverfault.com/a/531942/1816

假使，假设：

1. 我使用的后端/CMS 速度不是很快（例如，每个动态生成的页面的 TTFB 时间约为 1500ms）。优化它是不可能的，或者说在工作量上非常昂贵。
2. 我已经完全扩大了规模，即我使用了尽可能最快的硬件。
3. 我无法扩展，即 CMS 不支持主到主复制，因此它仅由单个节点提供服务。
4. 我在后端前面使用 CDN，它足够强大，可以处理任何流量，并且可以长时间缓存响应（例如 10 天）。缓存的响应（命中）速度很快，不会再次影响我的后端。未命中显然会到达我的后端。
5. 攻击者/机器人不知道我的后端的 IP。
6. 一些用例，例如 POST 请求或登录用户（占网站总使用量的一小部分），被设置为绕过 CDN 的缓存，因此它们最终总是会到达后端。
7. 对 URL 进行任何更改以使其对 CDN 而言是新的/唯一的（例如，添加&_foo=1247895239）最终都会影响后端。
8. 首先研究过系统的攻击者将很容易找到非常缓慢的用例（例如，分页到第 10,000 个结果），他们可以将这些用例与 #7 的随机参数一起滥用，使后端陷入瘫痪。
9. 我无法预测特定时间内后端所有已知且有效的 URL 和合法参数，以便以某种方式将请求列入白名单或清理 CDN 上的 URL，以减少不必要的请求到达后端。例如，/search?q=whatever将/search?foo=bar&q=whatever100% 产生相同的结果，因为foo=bar这不是我的后端使用的东西，但我无法在 CDN 级别对其进行清理。
10. 有些攻击来自单个 IP，有些攻击来自许多 IP（例如 2000 个或更多），这些 IP 无法猜测或通过 IP 范围轻易过滤掉。
11. CDN 提供商和后端主机提供商都提供某种 DDoS 攻击功能，但可能导致我的后端瘫痪的攻击非常小（例如每秒只有 10 个请求），并且从未被视为来自这些提供商的 DDoS 攻击。
12. 我确实有监控，当后端受到压力时会立即收到通知，但我不想手动禁止 IP，因为这是不可行的（我可能正在睡觉、做其他事情、度假或者攻击可能来自许多不同的 IP）。
13. 我犹豫是否要在后端引入每秒每个 IP 的连接数限制，因为在某个时候，我最终会拒绝合法用户的访问。例如，想象一下在大学或大公司举行关于我的服务的演示/研讨会，数十或数百个浏览器几乎同时从单个 IP 地址使用该服务。如果这些浏览器已登录，则它们将始终到达我的后端，而不会由 CDN 提供服务。另一种情况是公共部门用户都从非常有限的 IP 地址（由政府提供）访问该服务。因此，这将拒绝合法用户的访问，并且对来自许多 IP 的攻击毫无帮助，每个 IP 只发出几个请求。
14. 我不想永久地将某些国家的大型 IP 范围列入黑名单，这些国家有时是攻击的起源（例如中国、东欧），因为这是不公平的、错误的，将拒绝来自这些地区的合法用户的访问，并且来自其他地方的攻击不会受到影响。

那么，我该怎么做才能解决这种情况？有没有我假设中没有考虑到的解决方案可以提供帮助？