常見DDOS防禦方案
Cloudflare(CDN)
不多介紹了,都知道。主要說下套餐區別。之前(2017年左右)用免費套餐,遇到(流量估算至少10G起步)DDOS,切到了CF(後端也換了IP),剛開始沒問題,過幾天從國內就沒法訪問了,但是機器本身運行平穩,掛梯子也能訪問。然后買了20刀套餐,網站又能訪問了,而且沒出啥問題。不知道是遇到CC了被付費WAF擋住了,還是免費版被Anycast到了垃圾節點(這種說法沒有實錘,不過很多人都說過)。反正當時免費版即便開了5秒盾也抗不住大流量攻擊,平時freeboot一類小學生攻擊可以擋住,關鍵時候還要上付費版。
DDOS-GUARD(CDN)//ddos-guard.net/en/store/detail?productId=105
毛子家的,基本上沒啥人知道。免費套餐和CF差不多,單域名,可以購買多個,也有SSL(http需要在網站設置跳轉)。有個站掛了一下試了試,聯通和電信線路走俄羅斯,移動以前繞美,現在走NTT或狗通走歐洲了,整體速度比CF要好。沒遇到DDCC,不知道防禦效果如何,但官網聲稱也是BGP線路能扛1T+。缺點是免費套餐動不動就5秒盾,還沒法設置開啟頻率(付費版才能設置)。基本刷新幾次就會出,如果網站有大量JS調用,那用他家免費版就動不動加載失敗了。
VOXILITY(BGP)
這家市面上很流行,無論美國還是歐洲機器,高防經常接入他家。採用的是機房託管或線路接入,直接分配高防IP的形式。我用了幾個月接入他家羅馬尼亞總部線路的機器,感覺實在不怎麼樣。不被打的時候線路就不怎麼快,只要流量稍微一高,上行就限速。限速的時候服務器下載速度(客戶->主機)基本是幾KB一秒,連APT UPGRADE都不能正常運行,更別說網站上傳圖片啥的。這個有人說可以設置防禦級別,但是大多主機商(包括我那家)都不會給VOX防火牆設定功能的。而且聽說把防禦級別調低的話就會側漏,直接打到服務器,抗D效果幾乎沒有。最噁心的是他家被LAYER7攻擊後,會自動替換你的SSL證書,導致https訪問網站時提示證書錯誤。官方說明是可以給IP綁定SSL證書,但是我一直沒搞明白怎麼弄,好像必須得買企業EV證書才能綁IP。反正使用起來麻煩多多,雖然能抗D但只適合http展示類網站或者文字論壇。
OVH(IDC)
OVH家的硬防不是吹的,基本上沒見過把OVH服務器打癱瘓的。但是這個指的是DDOS流量無法到達主機,不會導致關機或湧入大量訪問,不代表網絡就能正常使用。OVH無論哪個機房,和中國大陸接入的寬帶都不大。所以一旦遇到大量DDOS(別人說100G,我沒測過)攻擊,流量還沒有到達OVH時,運營商為了網絡穩定就會把你IP空路由,所以對於國內用戶來說防禦效果不好。此外OVH慘絕人寰的垃圾線路相信大家都有所耳聞,歐洲機房SSH都連不上,加拿大、悉尼能連上網站但也基本8秒左右才能加載。最近出了個新加坡所謂路由優化,走日本NTT線路,速度比其他機房好點,但是也不禁打(實測50G+大陸空路由),管理也非常嚴格,禁止大姐姐。
大陸攻擊模式
中國用戶/DDOS肉雞->大陸運營商(電信/聯通/移動)->國際出口寬帶->外國運營商->IDC機房->服務器
DDOS防禦的基礎是帶寬對拼,如果某條線路帶寬小於DDOS帶寬,那肯定是會癱瘓的。解決這種問題,要么提升帶寬(或分流到多條線路),承接大量數據,在IDC機房進行過濾。要么在攻擊源頭路由進行處理,讓惡意流量無法傳入國際出口寬帶。假如DDOS攻擊全部來自於大陸肉雞,那麼中間幾個環節都是瓶頸。最關鍵的就是國際出口寬帶,如果訪問某個IP的寬帶總量超過了國際出口寬帶一定比例,那就會被大陸運營商屏蔽IP(空路由)或把訪問流量繞路到其他出口國家(比如原本走美國改道走歐洲)。
Cloudflare接入163(電信直連)線路共享300G(感謝66.to更正),大陸攻擊量過大的話直連線路肯定不會幫你抗(不過一般也打不過50G),應該會繞路或者走垃圾路由,付費用戶比免費用戶闕值要高一些,加上WAF所以防禦能力略強,但是一般無攻擊情況下免費和付費的速度是一樣的。Cera和VOX都是BGP路由,就是接入N個運營商,自動調度走哪條線路。像Cera中美所有線路接入有1T以上,每台機器專屬寬帶,價格也是上天。VOX接入總量應該也不小,雖然能和Cera一樣抗大流量,但線路質量是比較差的。
總結
首先網站要做好程序安全保護,否則容易被bypass導致防禦功虧一簣(感謝dream7758521)。後端推薦用OVH,畢竟從保護數據放面考慮,OVH口碑還是不錯的,前端建議套CF。一般個人博客一類的小網站被攻擊,都是小學生炫技類型,畢竟拿個freeboot一分錢不花就能打,這種隨便套個CF或者買個低防禦機器能扛5G+就行。套圖站那種因為有競爭對手,被打一般都是付費boot,超不過50G而且肉雞來源不全是國內,拿CF免費套餐也足夠抗住,抗不住就買個付費套餐扛一個月(DDOS- GUARD會設置的話付費也行,免費版太蛋疼)。上百G的攻擊那一般都是對某站有深仇大恨類型了,買的boot攻擊套餐成本也不便宜,這種建議拿CF企業版跟他對抗,一般一倆月打不死對方就沒精力了。用CF這類攻擊太大肯定會出現訪問慢/線路中斷一類的問題,如果需要高質量又快又穩的訪問,那得捨得花大價錢,上Cera企業套餐吧。如果200G+而且大量來自國內的攻擊,那種基本是被黨中央盯上了,趕緊收拾收拾跑路吧。
