自述白话文版-网站DDOS防护方案个人看法

test 1 3
摘要:

老白博客转载分享“自述白话文版-网站DDOS防护方案个人看法”:这里收集的都是平民可接受的抗D方案,亚马逊/网宿那类高大上的在这就不写了。Sharktech/Psychz那种虚标的也不写了,10G打过去就关机或绕路。 多少G如果是我测过的,都是以前买的booter站付费套餐,实际攻击量有没有掺水不得而知。对DDOS种类也没啥了解,只是泛泛而谈,欢迎补充指正。

老白博客转载分享“自述白话文版-网站DDOS防护方案个人看法”:这里收集的都是平民可接受的抗D方案,亚马逊/网宿那类高大上的在这就不写了。Sharktech/Psychz那种虚标的也不写了,10G打过去就关机或绕路。 多少G如果是我测过的,都是以前买的booter站付费套餐,实际攻击量有没有掺水不得而知。对DDOS种类也没啥了解,只是泛泛而谈,欢迎补充指正。

自述白话文版-网站DDOS防护方案个人看法

[h1]常见DDOS防护商家评价[/h1]

[h2]0.CeraNetworks(BGP)[/h2]

中美宽带大户,防火墙集群,高质量防御。土豪专用。

[h2]1.Cloudflare(CDN)[/h2]

不多介绍了,都知道。主要说下套餐区别。之前(2017年左右)用免费套餐,遇到(流量估算至少10G起步)DDOS,切到了CF(后端也换了IP),刚开始没问题,过几天从国内就没法访问了,但是机器本身运行平稳,挂梯子也能访问。然后买了20刀套餐,网站又能访问了,而且没出啥问题。不知道是遇到CC了被付费WAF挡住了,还是免费版被Anycast到了垃圾节点(这种说法没有实锤,不过很多人都说过)。

反正当时免费版即便开了5秒盾也抗不住大流量攻击,平时freeboot一类小学生攻击可以挡住,关键时候还要上付费版。

[h2]2.DDOS-GUARD(CDN)[/h2]

毛子家的,基本上没啥人知道。免费套餐和CF差不多,单域名,可以购买多个,也有SSL(http需要在网站设置跳转)。

有个站挂了一下试了试,联通和电信线路走俄罗斯,移动以前绕美,现在走NTT或狗通走欧洲了,整体速度比CF要好。没遇到DDCC,不知道防御效果如何,但官网声称也是BGP线路能扛1T+。缺点是免费套餐动不动就5秒盾,还没法设置开启频率(付费版才能设置)。基本刷新几次就会出,如果网站有大量JS调用,那用他家免费版就动不动加载失败了。

[h2]3.VOXILITY(BGP)[/h2]

这家市面上很流行,无论美国还是欧洲机器,高防经常接入他家。采用的是机房托管或线路接入,直接分配高防IP的形式。

我用了几个月接入他家罗马尼亚总部线路的机器,感觉实在不怎么样。不被打的时候线路就不怎么快,只要流量稍微一高,上行就限速。限速的时候服务器下载速度(客户->主机)基本是几KB一秒,连APT UPGRADE都不能正常运行,更别说网站上传图片啥的。

这个有人说可以设置防御级别,但是大多主机商(包括我那家)都不会给VOX防火墙设定功能的。而且听说把防御级别调低的话就会侧漏,直接打到服务器,抗D效果几乎没有。最恶心的是他家被LAYER7攻击后,会自动替换你的SSL证书,导致https访问网站时提示证书错误。官方说明是可以给IP绑定SSL证书,但是我一直没搞明白怎么弄,好像必须得买企业EV证书才能绑IP。反正使用起来麻烦多多,虽然能抗D但只适合http展示类网站或者文字论坛。

[h2]4.OVH(IDC)[/h2]

OVH家的硬防不是吹的,基本上没见过把OVH服务器打瘫痪的。但是这个指的是DDOS流量无法到达主机,不会导致关机或涌入大量访问,不代表网络就能正常使用。

OVH无论哪个机房,和中国大陆接入的宽带都不大。所以一旦遇到大量DDOS(别人说100G,我没测过)攻击,流量还没有到达OVH时,运营商为了网络稳定就会把你IP空路由,所以对于国内用户来说防御效果不好。此外OVH惨绝人寰的垃圾线路相信大家都有所耳闻,欧洲机房SSH都连不上,加拿大、悉尼能连上网站但也基本8秒左右才能加载。最近出了个新加坡所谓路由优化,走日本NTT线路,速度比其他机房好点,但是也不禁打(实测50G+大陆空路由),管理也非常严格,禁止大姐姐。

[h2]5.大陆攻击模式[/h2]

中国用户/DDOS肉鸡->大陆运营商(电信/联通/移动)->国际出口宽带->外国运营商->IDC机房->服务器

DDOS防御的基础是带宽对拼,如果某条线路带宽小于DDOS带宽,那肯定是会瘫痪的。解决这种问题,要么提升带宽(或分流到多条线路),承接大量数据,在IDC机房进行过滤。要么在攻击源头路由进行处理,让恶意流量无法传入国际出口宽带。

假如DDOS攻击全部来自于大陆肉鸡,那么中间几个环节都是瓶颈。最关键的就是国际出口宽带,如果访问某个IP的宽带总量超过了国际出口宽带一定比例,那就会被大陆运营商屏蔽IP(空路由)或把访问流量绕路到其他出口国家(比如原本走美国改道走欧洲)。

Cloudflare接入163(电信直连)线路共享300G(感谢66.to更正),大陆攻击量过大的话直连线路肯定不会帮你抗(不过一般也打不过50G),应该会绕路或者走垃圾路由,付费用户比免费用户阙值要高一些,加上WAF所以防御能力略强,但是一般无攻击情况下免费和付费的速度是一样的。

Cera和VOX都是BGP路由,就是接入N个运营商,自动调度走哪条线路。像Cera中美所有线路接入有1T以上,每台机器专属宽带,价格也是上天。VOX接入总量应该也不小,虽然能和Cera一样抗大流量,但线路质量是比较差的。

[h1]网站ddos防护总结[/h1]

[h2]1.自身网站安全防护[/h2]

首先网站要做好程序安全保护,否则容易被bypass导致防御功亏一篑(感谢dream7758521)。

[h2]2.防护方案[/h2]

后端推荐用OVH,毕竟从保护数据放面考虑,OVH口碑还是不错的,前端建议套CF。一般个人博客一类的小网站被攻击,都是小学生炫技类型,毕竟拿个freeboot一分钱不花就能打,这种随便套个CF或者买个低防御机器能扛5G+就行。

[h2]3.行业打压怎么办[/h2]

套图站那种因为有竞争对手,被打一般都是付费boot,超不过50G而且肉鸡来源不全是国内,拿CF免费套餐也足够抗住,抗不住就买个付费套餐扛一个月(DDOS-GUARD会设置的话付费也行,免费版太蛋疼)。

[h2]4.百G-ddos怎么抗[/h2]

上百G的攻击那一般都是对某站有深仇大恨类型了,买的boot攻击套餐成本也不便宜,这种建议拿CF企业版跟他对抗,一般一俩月打不死对方就没精力了。用CF这类攻击太大肯定会出现访问慢/线路中断一类的问题

[h2]5.精品推荐[/h2]

如果需要高质量又快又稳的访问,那得舍得花大价钱,上Cera企业套餐吧。如果200G+而且大量来自国内的攻击,那种基本是被XXX盯上了,赶紧收拾收拾跑路吧。

[h1]老白说明[/h1]

老白简单说几句:

[h2]1.DDOS攻击成本极低[/h2]

10G以下都不能叫攻击,一般都是20-50G,相当于不要钱

[h2]2.个人博客DDOS有必要防御吗?[/h2]

没必要,个人博客没啥太大影响,喜欢的套个CDN(腾讯云的边缘CDN还可以),隐藏下源站IP,套CDN的时候注意邮件系统会泄露源ip

邮件系统教程看这里:腾讯云邮件推送配置wordpress网站SMTP发信隐藏源IP

[h2]3.小微企业怎么办[/h2]

参照上面的教程学习,或者直接找靠谱的人 or 找靠谱的平台(我不会,别找我)

[h2]4.关于本文[/h2]

本文转载自牛鬼蛇神,满天神佛云集的MJJ,谢谢30826的分享。

原贴:https://host-MJJ老白博客-loc.com/thread-493950-1-1.html

老白自己也写了一些非常简单的网站防护教程,欢迎点击文章标签阅读!

发表评论 取消回复
表情 图片 链接 代码

  1. 不凡
    不凡 Lv 3

    个人博客还是得防范下,我遇到两次恶意DDoS攻击,最后上了腾讯云的EO才防得住

    • 老白
      老白 站长

      @不凡腾讯的eo可以抗多少啊,我之前买过39一年防火墙,只能10G

      • 不凡
        不凡 Lv 3

        @老白不知道能防多少,用了一个多月,目前网站没有异常

分享