全球主机交流论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

CeraNetworksSS大流量主机交流
IP归属甄别会员请立即修改密码FDC不限流量服务器
查看: 6932|回复: 69

[经验] 【总结】常见DDOS防御方案

  [复制链接]
发表于 2018-11-22 06:22:38 | 显示全部楼层 |阅读模式
本帖最后由 30826 于 2018-11-22 23:37 编辑

这里收集的都是平民可接受的抗D方案,亚马逊/网宿那类高大上的在这就不写了。Sharktech/Psychz那种虚标的也不写了,10G打过去就关机或绕路。
多少G如果是我测过的,都是以前买的booter站付费套餐,实际攻击量有没有掺水不得而知。对DDOS种类也没啥了解,只是泛泛而谈,欢迎补充指正。

0.CeraNetworks(BGP)
中美宽带大户,防火墙集群,高质量防御。土豪专用。

1.Cloudflare(CDN)
不多介绍了,都知道。主要说下套餐区别。之前(2017年左右)用免费套餐,遇到(流量估算至少10G起步)DDOS,切到了CF(后端也换了IP),刚开始没问题,过几天从国内就没法访问了,但是机器本身运行平稳,挂梯子也能访问。然后买了20刀套餐,网站又能访问了,而且没出啥问题。不知道是遇到CC了被付费WAF挡住了,还是免费版被Anycast到了垃圾节点(这种说法没有实锤,不过很多人都说过)。反正当时免费版即便开了5秒盾也抗不住大流量攻击,平时freeboot一类小学生攻击可以挡住,关键时候还要上付费版。

2.DDOS-GUARD(CDN)//ddos-guard.net/en/store/detail?productId=105
毛子家的,基本上没啥人知道。免费套餐和CF差不多,单域名,可以购买多个,也有SSL(http需要在网站设置跳转)。有个站挂了一下试了试,联通和电信线路走俄罗斯,移动以前绕美,现在走NTT或狗通走欧洲了,整体速度比CF要好。没遇到DDCC,不知道防御效果如何,但官网声称也是BGP线路能扛1T+。缺点是免费套餐动不动就5秒盾,还没法设置开启频率(付费版才能设置)。基本刷新几次就会出,如果网站有大量JS调用,那用他家免费版就动不动加载失败了。

3.VOXILITY(BGP)
这家市面上很流行,无论美国还是欧洲机器,高防经常接入他家。采用的是机房托管或线路接入,直接分配高防IP的形式。我用了几个月接入他家罗马尼亚总部线路的机器,感觉实在不怎么样。不被打的时候线路就不怎么快,只要流量稍微一高,上行就限速。限速的时候服务器下载速度(客户->主机)基本是几KB一秒,连APT UPGRADE都不能正常运行,更别说网站上传图片啥的。这个有人说可以设置防御级别,但是大多主机商(包括我那家)都不会给VOX防火墙设定功能的。而且听说把防御级别调低的话就会侧漏,直接打到服务器,抗D效果几乎没有。最恶心的是他家被LAYER7攻击后,会自动替换你的SSL证书,导致https访问网站时提示证书错误。官方说明是可以给IP绑定SSL证书,但是我一直没搞明白怎么弄,好像必须得买企业EV证书才能绑IP。反正使用起来麻烦多多,虽然能抗D但只适合http展示类网站或者文字论坛。

4.OVH(IDC)
OVH家的硬防不是吹的,基本上没见过把OVH服务器打瘫痪的。但是这个指的是DDOS流量无法到达主机,不会导致关机或涌入大量访问,不代表网络就能正常使用。OVH无论哪个机房,和中国大陆接入的宽带都不大。所以一旦遇到大量DDOS(别人说100G,我没测过)攻击,流量还没有到达OVH时,运营商为了网络稳定就会把你IP空路由,所以对于国内用户来说防御效果不好。此外OVH惨绝人寰的垃圾线路相信大家都有所耳闻,欧洲机房SSH都连不上,加拿大、悉尼能连上网站但也基本8秒左右才能加载。最近出了个新加坡所谓路由优化,走日本NTT线路,速度比其他机房好点,但是也不禁打(实测50G+大陆空路由),管理也非常严格,禁止大姐姐。

5.大陆攻击模式(关于CF过滤的猜测不实,已删除,感谢dream7758521)
中国用户/DDOS肉鸡->大陆运营商(电信/联通/移动)->国际出口宽带->外国运营商->IDC机房->服务器
DDOS防御的基础是带宽对拼,如果某条线路带宽小于DDOS带宽,那肯定是会瘫痪的。解决这种问题,要么提升带宽(或分流到多条线路),承接大量数据,在IDC机房进行过滤。要么在攻击源头路由进行处理,让恶意流量无法传入国际出口宽带。假如DDOS攻击全部来自于大陆肉鸡,那么中间几个环节都是瓶颈。最关键的就是国际出口宽带,如果访问某个IP的宽带总量超过了国际出口宽带一定比例,那就会被大陆运营商屏蔽IP(空路由)或把访问流量绕路到其他出口国家(比如原本走美国改道走欧洲)。
Cloudflare接入163(电信直连)线路共享300G(感谢66.to更正),大陆攻击量过大的话直连线路肯定不会帮你抗(不过一般也打不过50G),应该会绕路或者走垃圾路由,付费用户比免费用户阙值要高一些,加上WAF所以防御能力略强,但是一般无攻击情况下免费和付费的速度是一样的。Cera和VOX都是BGP路由,就是接入N个运营商,自动调度走哪条线路。像Cera中美所有线路接入有1T以上,每台机器专属宽带,价格也是上天。VOX接入总量应该也不小,虽然能和Cera一样抗大流量,但线路质量是比较差的。

6.总结
首先网站要做好程序安全保护,否则容易被bypass导致防御功亏一篑(感谢dream7758521)。后端推荐用OVH,毕竟从保护数据放面考虑,OVH口碑还是不错的,前端建议套CF。一般个人博客一类的小网站被攻击,都是小学生炫技类型,毕竟拿个freeboot一分钱不花就能打,这种随便套个CF或者买个低防御机器能扛5G+就行。套图站那种因为有竞争对手,被打一般都是付费boot,超不过50G而且肉鸡来源不全是国内,拿CF免费套餐也足够抗住,抗不住就买个付费套餐扛一个月(DDOS-GUARD会设置的话付费也行,免费版太蛋疼)。上百G的攻击那一般都是对某站有深仇大恨类型了,买的boot攻击套餐成本也不便宜,这种建议拿CF企业版跟他对抗,一般一俩月打不死对方就没精力了。用CF这类攻击太大肯定会出现访问慢/线路中断一类的问题,如果需要高质量又快又稳的访问,那得舍得花大价钱,上Cera企业套餐吧。如果200G+而且大量来自国内的攻击,那种基本是被党中央盯上了,赶紧收拾收拾跑路吧。
发表于 2018-11-22 13:36:48 来自手机 | 显示全部楼层
如果200G+而且大量来自国内的攻击,那种基本是被党中央盯上了,赶紧收拾收拾跑路吧。
发表于 2018-11-22 13:38:09 来自手机 | 显示全部楼层
LOC论坛最屌MJJ 发表于 2018-11-22 09:46
我一直在想如果开启5秒盾,api接口是不是就会出问题啊。第一次调用的时候

firewall那里把请求IP加白就没事了
发表于 2018-11-22 10:34:23 | 显示全部楼层
【总结】常见DDOS防御方案
第一条:慎重考虑再决定是否将网址公布于LOC
发表于 2018-11-22 07:31:55 | 显示全部楼层
那俄罗斯的多少钱?
发表于 2018-11-22 07:14:28 来自手机 | 显示全部楼层
早起打铁点赞
发表于 2018-11-22 07:28:08 | 显示全部楼层
可以的哥 谢谢哥
 楼主| 发表于 2018-11-22 07:48:41 | 显示全部楼层
本帖最后由 30826 于 2018-11-22 07:57 编辑


俄罗斯的个人版付费套餐15刀一个月,比CF便宜点。但是不知道他家防御能力和大攻击下线路质量究竟如何,因为这家我免费版用得不爽就换回CF了,所以没自己测过。但是免费套餐的话,DDG肯定不如CF,限制太多问题百出。如果都付费的话,DDG对欧洲机器的加速效果应该好些,CF对大陆全都绕美。
发表于 2018-11-22 07:56:54 | 显示全部楼层
30826 发表于 2018-11-22 07:48
俄罗斯的个人版付费套餐15刀一个月,比CF便宜点。但是不知道他家防御能力和大攻击下线路质量究竟如何,因 ...

付费就不出5秒了吗
发表于 2018-11-22 07:57:18 来自手机 | 显示全部楼层
定定更健康
 楼主| 发表于 2018-11-22 07:58:44 | 显示全部楼层
本帖最后由 30826 于 2018-11-22 08:16 编辑


跟官方客服问过,说付费可以自己设定5秒盾级别,免费版不行。
不过我没买过付费版,毕竟机器在美国用CF更快。
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|全球主机交流论坛

GMT+8, 2019-3-23 14:28 , Processed in 0.076741 second(s), 6 queries , MemCache On.

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表