#分享# 总结常见DDOS防御方案

作者: MJJ 分类: 好帖分享,科普文章 发布时间: 2019-01-02 20:08

这里收集的都是平民可接受的抗D方案,亚马逊/网宿那类高大上的在这就不写了。Sharktech/Psychz那种虚标的也不写了,10G打过去就关机或绕路。
多少G如果是我测过的,都是以前买的booter站付费套餐,实际攻击量有没有掺水不得而知。对DDOS种类也没啥了解,只是泛泛而谈,欢迎补充指正。

0.CeraNetworks(BGP)
中美宽带大户,防火墙集群,高质量防御。土豪专用。

1.Cloudflare(CDN)
不多介绍了,都知道。主要说下套餐区别。之前(2017年左右)用免费套餐,遇到(流量估算至少10G起步)DDOS,切到了CF(后端也换了IP),刚开始没问题,过几天从国内就没法访问了,但是机器本身运行平稳,挂梯子也能访问。然后买了20刀套餐,网站又能访问了,而且没出啥问题。不知道是遇到CC了被付费WAF挡住了,还是免费版被Anycast到了垃圾节点(这种说法没有实锤,不过很多人都说过)。反正当时免费版即便开了5秒盾也抗不住大流量攻击,平时freeboot一类小学生攻击可以挡住,关键时候还要上付费版。

2.DDOS-GUARD(CDN)//ddos-guard.net/en/store/detail?productId=105
毛子家的,基本上没啥人知道。免费套餐和CF差不多,单域名,可以购买多个,也有SSL(http需要在网站设置跳转)。有个站挂了一下试了试,联通和电信线路走俄罗斯,移动以前绕美,现在走NTT或狗通走欧洲了,整体速度比CF要好。没遇到DDCC,不知道防御效果如何,但官网声称也是BGP线路能扛1T+。缺点是免费套餐动不动就5秒盾,还没法设置开启频率(付费版才能设置)。基本刷新几次就会出,如果网站有大量JS调用,那用他家免费版就动不动加载失败了。

3.VOXILITY(BGP)
这家市面上很流行,无论美国还是欧洲机器,高防经常接入他家。采用的是机房托管或线路接入,直接分配高防IP的形式。我用了几个月接入他家罗马尼亚总部线路的机器,感觉实在不怎么样。不被打的时候线路就不怎么快,只要流量稍微一高,上行就限速。限速的时候服务器下载速度(客户->主机)基本是几KB一秒,连APT UPGRADE都不能正常运行,更别说网站上传图片啥的。这个有人说可以设置防御级别,但是大多主机商(包括我那家)都不会给VOX防火墙设定功能的。而且听说把防御级别调低的话就会侧漏,直接打到服务器,抗D效果几乎没有。最恶心的是他家被LAYER7攻击后,会自动替换你的SSL证书,导致https访问网站时提示证书错误。官方说明是可以给IP绑定SSL证书,但是我一直没搞明白怎么弄,好像必须得买企业EV证书才能绑IP。反正使用起来麻烦多多,虽然能抗D但只适合http展示类网站或者文字论坛。

4.OVH(IDC)
OVH家的硬防不是吹的,基本上没见过把OVH服务器打瘫痪的。但是这个指的是DDOS流量无法到达主机,不会导致关机或涌入大量访问,不代表网络就能正常使用。OVH无论哪个机房,和中国大陆接入的宽带都不大。所以一旦遇到大量DDOS(别人说100G,我没测过)攻击,流量还没有到达OVH时,运营商为了网络稳定就会把你IP空路由,所以对于国内用户来说防御效果不好。此外OVH惨绝人寰的垃圾线路相信大家都有所耳闻,欧洲机房SSH都连不上,加拿大、悉尼能连上网站但也基本8秒左右才能加载。最近出了个新加坡所谓路由优化,走日本NTT线路,速度比其他机房好点,但是也不禁打(实测50G+大陆空路由),管理也非常严格,禁止大姐姐。

5.大陆攻击模式(关于CF过滤的猜测不实,已删除,感谢dream7758521)
中国用户/DDOS肉鸡->大陆运营商(电信/联通/移动)->国际出口宽带->外国运营商->IDC机房->服务器
DDOS防御的基础是带宽对拼,如果某条线路带宽小于DDOS带宽,那肯定是会瘫痪的。解决这种问题,要么提升带宽(或分流到多条线路),承接大量数据,在IDC机房进行过滤。要么在攻击源头路由进行处理,让恶意流量无法传入国际出口宽带。假如DDOS攻击全部来自于大陆肉鸡,那么中间几个环节都是瓶颈。最关键的就是国际出口宽带,如果访问某个IP的宽带总量超过了国际出口宽带一定比例,那就会被大陆运营商屏蔽IP(空路由)或把访问流量绕路到其他出口国家(比如原本走美国改道走欧洲)。
Cloudflare接入163(电信直连)线路共享300G(感谢66.to更正),大陆攻击量过大的话直连线路肯定不会帮你抗(不过一般也打不过50G),应该会绕路或者走垃圾路由,付费用户比免费用户阙值要高一些,加上WAF所以防御能力略强,但是一般无攻击情况下免费和付费的速度是一样的。Cera和VOX都是BGP路由,就是接入N个运营商,自动调度走哪条线路。像Cera中美所有线路接入有1T以上,每台机器专属宽带,价格也是上天。VOX接入总量应该也不小,虽然能和Cera一样抗大流量,但线路质量是比较差的。

6.总结
首先网站要做好程序安全保护,否则容易被bypass导致防御功亏一篑(感谢dream7758521)。后端推荐用OVH,毕竟从保护数据放面考虑,OVH口碑还是不错的,前端建议套CF。一般个人博客一类的小网站被攻击,都是小学生炫技类型,毕竟拿个freeboot一分钱不花就能打,这种随便套个CF或者买个低防御机器能扛5G+就行。套图站那种因为有竞争对手,被打一般都是付费boot,超不过50G而且肉鸡来源不全是国内,拿CF免费套餐也足够抗住,抗不住就买个付费套餐扛一个月(DDOS-GUARD会设置的话付费也行,免费版太蛋疼)。上百G的攻击那一般都是对某站有深仇大恨类型了,买的boot攻击套餐成本也不便宜,这种建议拿CF企业版跟他对抗,一般一俩月打不死对方就没精力了。用CF这类攻击太大肯定会出现访问慢/线路中断一类的问题,如果需要高质量又快又稳的访问,那得舍得花大价钱,上Cera企业套餐吧。如果200G+而且大量来自国内的攻击,那种基本是被党中央盯上了,赶紧收拾收拾跑路吧。

作者:30826  

查看原帖:https://www.hostloc.com/thread-493950-1-1.html

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注