平民服务器常见 DDOS 防御解决方案

转载:hostloc.com

这里收集的都是平民可接受的抗D方案,亚马逊/网宿那类高大上的在这就不写了。Sharktech/Psychz那种虚标的也不写了,10G打过去就关机或绕路。

多少G如果是我测过的,都是以前买的booter站付费套餐,实际攻击量有没有掺水不得而知。对DDOS种类也没啥了解,只是泛泛而谈,欢迎补充指正。

1.CeraNetworks(BGP)

中美宽带大户,远超楼下几家。防火墙集群,高质量防御。土豪专用。

2.Cloudflare(CDN)

不多介绍了,都知道。主要说下套餐区别。之前(2017年左右)用免费套餐,遇到(流量估算至少10G起步)DDOS,切到了CF(后端也换了IP),刚开始没问题,过几天从国内就没法访问了,但是机器本身运行平稳,挂梯子也能访问。然后买了20刀套餐,网站又能访问了,而且没出啥问题。

不知道是遇到CC了被付费WAF挡住了,还是免费版被Anycast到了垃圾节点(这种说法没有实锤,不过很多人都说过)。反正当时免费版即便开了5秒盾也抗不住大流量攻击,平时freeboot一类小学生攻击可以挡住,关键时候还要上付费版。

3.DDOS-GUARD(CDN)

毛子家的,基本上没啥人知道。免费套餐和CF差不多,单域名,可以购买多个,也有SSL(http需要在网站设置跳转)。有个站挂了一下试了试,联通和电信线路走俄罗斯,移动以前绕美,现在走NTT或狗通走欧洲了,整体速度比CF要好。

没遇到DDCC,不知道防御效果如何,但官网声称也是BGP线路能扛1T+。缺点是免费套餐动不动就5秒盾,还没法设置开启频率(付费版才能设置)。基本刷新几次就会出,如果网站有大量JS调用,那用他家免费版就动不动加载失败了。

4.VOXILITY(BGP)

这家市面上很流行,无论美国还是欧洲机器,高防经常接入他家。采用的是机房托管或线路接入,直接分配高防IP的形式。我用了几个月接入他家罗马尼亚总部线路的机器,感觉实在不怎么样。不被打的时候线路就不怎么快,只要流量稍微一高,上行就限速。限速的时候服务器下载速度(客户->主机)基本是几KB一秒,连APT UPGRADE都不能正常运行,更别说网站上传图片啥的。这个有人说可以设置防御级别,但是大多主机商(包括我那家)都不会给VOX防火墙设定功能的。而且听说把防御级别调低的话就会侧漏,直接打到服务器,抗D效果几乎没有。

最恶心的是他家被LAYER7攻击后,会自动替换你的SSL证书,导致https访问网站时提示证书错误。官方说明是可以给IP绑定SSL证书,但是我一直没搞明白怎么弄,好像必须得买企业EV证书才能绑IP。反正使用起来麻烦多多,虽然能抗D但只适合http展示类网站或者文字论坛。

5.OVH(IDC)

OVH家的硬防不是吹的,基本上没见过把OVH服务器打瘫痪的。但是这个指的是DDOS流量无法到达主机,不会导致关机或涌入大量访问,不代表网络就能正常使用。

OVH无论哪个机房,和中国大陆接入的宽带都不大。所以一旦遇到大量DDOS(别人说100G,我没测过)攻击,流量还没有到达OVH时,运营商为了网络稳定就会把你IP空路由,所以对于国内用户来说防御效果不好。此外OVH惨绝人寰的垃圾线路相信大家都有所耳闻,欧洲机房SSH都连不上,加拿大、悉尼能连上网站但也基本8秒左右才能加载。最近出了个新加坡所谓路由优化,走日本NTT线路,速度比其他机房好点,但是也不禁打(实测50G+大陆空路由),管理也非常严格,禁止大姐姐。

6.大陆攻击模式

中国用户/DDOS肉鸡->大陆运营商(电信/联通/移动)->国际出口宽带->外国运营商->IDC机房->服务器

DDOS防御的基础是带宽对拼,如果某条线路带宽小于DDOS带宽,那肯定是会瘫痪的。解决这种问题,要么提升带宽(或分流到多条线路),承接大量数据,在IDC机房进行过滤。要么在攻击源头路由进行处理,让恶意流量无法传入国际出口宽带。假如DDOS攻击全部来自于大陆肉鸡,那么中间几个环节都是瓶颈。最关键的就是国际出口宽带,如果访问某个IP的宽带总量超过了国际出口宽带一定比例,那就会被大陆运营商屏蔽IP(空路由)或把访问流量绕路到其他出口国家(比如原本走美国改道走欧洲)。

Cloudflare说的接入163(电信直连)线路共享150G,也就是说大陆内攻击超过150G的话电信直连线路肯定抗不住,应该会改用第三方线路(Telia一类)或者绕欧洲。免费用户攻击超过10G我觉得就会切到第三方垃圾线路了,付费用户阙值可能20G左右,然后超过绕路的话可能走稍微优质些的线路(比如PCCW?)。还有一点要考虑到CF在国内的合作商百度,可能有些国内流量路由就走了百度的服务器进行过滤。当然关于CF线路这些都是我个人猜想,只有一点可以确定就是CF的20刀付费版抗揍能力确实比免费版好一些,没遇到攻击的情况下线路都一样,速度也一样。

Cera和VOX都是BGP路由,就是接入N个运营商,自动调度走哪条线路。像Cera中美所有线路接入有1T以上,每台机器专属宽带,价格也是上天。VOX接入总量应该也不小(因为和很多运营商都有合作,可能中美宽带总和比CF还大点),虽然能和Cera一样抗大流量,但线路质量是比较差的。加上前面说的那堆问题,总而言之就是被打后网站速度慢,还经常访问中断。

7.总结

后端推荐用OVH,毕竟从保护数据放面考虑,OVH口碑还是不错的。前端建议套CF或DDOS-GUARD,能抗住一些20G以下的普通攻击,如果攻击再大影响到网站正常使用时,就买个付费套餐扛一个月。如果攻击量巨大又不想购买太贵的CDN套餐的时候,可以考虑用VOXILITY严格模式的机器,可以扛很大量同时保证国内能勉强访问。但这种情况你必须用硬件足够好的服务器,用http连接,而且几乎是只读模式,没法上传大点的数据。如果需要高质量又快又稳的访问,那得舍得花大价钱,上Cera企业套餐吧。

一般个人博客一类的小网站被攻击,都是小学生炫技类型,毕竟拿个freeboot一分钱不花就能打,这种随便套个CF或者买个低防御机器能扛5G+就行。套图站那种因为有竞争对手,被打一般都是竞争对手付费boot,超不过50G而且肉鸡来源不全是国内,拿CF免费套餐也足够抗住。上百G的攻击那一般都是对某站有深仇大恨类型了,买的boot攻击套餐成本也不便宜,这种还是建议拿CF付费跟他对抗,一般一俩月打不死对方就没精力了。

如果200G+而且大量来自国内的攻击,那种基本是被党中央盯上了,赶紧收拾收拾跑路吧。


标签: ddos防御方法, ddos, ddos攻击是什么, ddos攻击

仅有一条评论

  1. zgcwkj zgcwkj   Windows 10 Windows 10   Google Chrome  Google Chrome

    菜鸟路过,留个脚印!

添加新评论