DDOS/CC防御研究

C 1月前 157

常备一个抗DDCC的方案是很重要的,有高防的话线路不会太好,一般都是牺牲访问速度换取防御量。

高防需要从买来机器就开始用,被打后才套CF是没用的,源IP还是会被查到(DNS历史查询)。


【Cloudflare】

这个方案是用的最广的,也是相对来说最成熟的。CF的防御性能很好,常见的DDOS攻击都能防住。

缺点:

(1) 线路走的是中美,高峰时期各种爆炸,网站打开起码要5秒。

(2) 免费版没有WAF防火墙,抗CC攻击只能开5秒盾,访问效果很不好。


【DDOS-GUARD】

和CF一样是CDN类的无限防御,线路走俄国,速度比CF要好一些,但以后用的人多了不好说咋样。

缺点:

(1) 免费版没有WAF防火墙,5秒盾强制频繁开启,体验很不好,只能付费调整。


【Voxility】

VOX不同于CDN,是让IDC直接把IP接入,使用他的高防线路。速度好于OVH欧洲,不如OVH新加坡。分为美国和欧洲两个防御点,美国线路较好,如果攻击过大会互相绕路清洗。

缺点:

(1) 线路有时并不理想,但类似GGC的去程VOX+回程CN2GIA也是个不错的选择。(但GGC买的防御虚标,被DDOS大了他会封IP,所以别买他家的)

(2) VOX最大的问题是去程堵塞,只要开防火墙,上传以KB计算,根本没法用。除非IDC智能判断,遇到攻击再开VOX,不过能做到的IDC很少。

(3) 防御开启时SSL证书会失效,比如访客手动允许VOX自添加的证书。

(4) 同样被国内打量太大以后会屏蔽中国方向的访问。

其他来说都没啥大问题,VOX的机器价位一般也不高,防御量个人网站来说也够用了。但是SSL证书失效的访问很不友好,而且找到智能判断是否开启防御,足量回程CN2GIA的商家目前还没有发现。所以不建议使用。


【OVH】

这家的防御声名远扬了,基本大小DDOS都能抗住。

缺点:

(1) 不抗DMCA版权投诉。

(2) 要求身份验证,对中国客户不友好。

(3) 没有CC防御,必须自己在服务器配置CC防火墙,这倒不是啥大问题。

(4) 除了新加坡以外的所有机器基本在大陆访问都卡成屎一样,等同于没法用,所以OVH只能买新加坡。

(5) 即便买新加坡,如果大陆方向的攻击过大(一说50G以上),那也会把大陆所有流量空路由,只能挂梯子访问。

虽然防御效果并不是特别理想,不过一般OVH几乎没人闲的没事去轮他机房,大陆防御峰值50G也够一般网站用了,像主机测评那种网站被打都搬到OVH,如果做没有DMCA内容的网站还是个比较经济实惠的选择。


【CeraNetworks】

防御效果没得说,各方面都好,最大的问题就是贵。如果交钱不够,被打太狠了,买的防御套餐根本不够用。一般来说小站长用不起,除非是二级分销分摊价位,否则不建议购买。像HostDare这理论上就是只有基础防御的,如果我们网站被盯上的话,照样会被打到空路由,所以找高防还要考虑其他方案。


【其他商家】

比如Virmach纽约布法罗的20G防御,Psychz的20G防御等。

缺点是防不住大量,只适合个人站用。还有线路差,平时访问速度很慢。


总体来说今后的防御规划(帮好友托管,能力范围内):

1.遇到机房被轮段,等他们上高防解决,或者临时更换其他主机。

2.遇到针对本站(主机)的攻击,先改用Psychz一类的20G防御,部署CC防御系统,看能不能抗住。

3.如果抗不住,上OVH的新加坡节点,部署CC防御系统。

如果是自己站的话,那我当然会选择套CF/DDOS-GUARD这类的CDN解决。


最后于 4天前 被C编辑 ,原因:
最新回复 (0)
    • 屌丝论坛
      2
          
返回
发新帖