作者在购买DDoS防御上被骗了很多回,都说能防300G,500G,买完就防不住了。本文当然重点给大家说明中小企业如何防护ddos攻击,成本等。
记住一句话Ddos攻击是世界级的难题并没有解决办法只能缓解。 攻击流量是关键指标。攻击流量的大小不同,用的防护方法不同。下面我们细说一下,不同攻击量对应对方式。如果超过10G 攻击流量,软件防护就扯蛋。
WEB类型,这个是攻击最多,防护方案更广,可以选择国内、国外的CDN,就是花钱买CDN。
游戏类型,这个必须得放在国内,放国外太卡,掉线,没人玩了,解决办法就是找第三方防ddos解决商,花钱买服务。
10~50G的攻击流量,国内很多机房都可以防护,问题你给的钱够不够,IDC机房是否给你防护。
防护示意图:
机房有一个总带宽,如果你攻击带宽太大就影响他正常客户,他就会找各种借口给你ip屏蔽。
很多攻击持续的时间非常短,通常5分钟以内,流量图上表现为突刺状的脉冲。
实际对机房没有什么影响,但是机房就给你ip屏蔽了,这个用于攻击游戏类网站,搞一会一掉线,用户全掉光了。
10G~50G之间,单机防护,浙江,江苏,广东,都可以防都可以防护,月成本2万左右,(价格说小于1万那就是骗子,已经测试过)
网上很多说320G防护、无视DDos,全是吹牛的,他说的320G应当就是udp攻击,因为电信上层给屏蔽了udp带宽。
广东有双线,合适放游戏类网站,速度快,防护还可以。
广东有些ip是屏蔽国外的流量,还有屏蔽联通的流量,意思就是除了电信的别的地方的流量都过不来。
100~200G之间现在是关键了,现在攻击这个是最多的,游戏类网站如果有怎么大攻击放国内,现在能有怎么大防护的,电信,广东,福州,广西,联通有大连,
福州买过,2万多一个月,说防300G,130G就给封了,骗子,DNS防护也不行,10G左右的dns攻击直接搞死了。
广东机房买过,3万一个月,100G就给封了,不过广东可以秒解,买200个ip,还是能防一会,广东的直接访问不了dns,机房做策略了。
广西,这个正测试,前几天放了dns在广西机房,打死了。
DNS攻击防护也是重点,买了dnspod的最贵那个版本3万多/年,封了,dnspod也,老吴不在那了吗?搞别的去了,现在真是垃圾,指着dnspod防护差远了,我给大家介绍一下,google有dns防护,好用,比dnspod便宜很多,还有CF,也非常好,200刀,没打死过。
上面就浪费十来万,测试dns测试100G防护,总结的经验。
游戏的只能放国内,还得看是udp,还是tcp,所以防护范围小。
WEB的防护比较多,可以考虑放国外,现在国外比较能吹的,美国SK机房,防100G,买了,安排机器花了2天,这个攻击完了ip,封1小时,真心不行。机房还老掉线,花了1万左右可能一个月。
美国hs机房,防80G,一个月8万,买了,打死了,他防到40G左右就给你封了,也跟骗子差不多,说是要加到200G防护,没看到。
美国CD机房,最后花了>10万每月,找的他们老板防住了,但是dns防护不行。
还有一家机房可以推荐,加拿大机房,单机防160G,集群480G,不封ip,防护还可以,缺点,卡,国内ping掉包,8000左右一个月,20元一个ip,
上面速度最快的是hs机房国内,150ms左右,没攻击的时候用用还行,有攻击防护差点意思。
我不是给机房做广告,我只是总结我最近防护的经验,国内可以放免备案的机房也有,资源联系方式,dns防攻击500G,都可以,你联系我,我可以免费告诉你这些资源的联系方式,
最后说一下,云加速,国内的云盾,收费死贵,防护不行,别看他家的了。
阿里云防护,单机防4个G,不贵,小企业可以用,缺点得备案,还有如果你有非法信息,他们可以直接给报官了(最垃圾的是这点)。
百度云加速,说是防1T攻击,我认真研究了一下,他是联合,国外的CF云加速,电信的云堤(近源清洗)说能防1T,攻击400G他转到CF国外,国内600G攻击,全是云堤防护的,
什么是近源清洗,就是江苏有攻击,到电信江苏的出口的时候,isp,中国电信直接不让他出口,
目前如中国电信的专门做抗DDOS的云堤提供了[近源清洗]和[流量压制]的服务,对于购买其服务的厂商来说可以自定义需要黑洞路由的IP与电信的设备联动,黑洞路由是一种简单粗暴的方法,除了攻击流量,部分真实用户的访问也会被一起黑洞掉,对用户体验是一种打折扣的行为,本质上属于为了保障留给其余用户的链路带宽的弃卒保帅的做法,之所以还会有这种收费服务是因为假如不这么做,全站服务会对所有用户彻底无法访问。对于云清洗厂商而言,实际上也需要借助黑洞路由与电信联动。
百度云加速,还没测试过,不评价,总结国内的厂商全是吹牛B的比较多,行业就这样,
国外的比较可靠,但是收费的确不便宜,三家,可以推荐,
亚马逊,30G攻击无视,攻击大了,也给你封了,推荐他最大优点,按流量收费,可以按小时收费,不要备案,国内还得先备案,这我买6个节点,用三天死了。
CF加速,这个dns防护无敌,百度云加速就是联合的他家。
akamai,这家是给苹果做防护的,说只有苹果发布会的打死过一次,我没试太贵了,1G,3.5元,一天估计就得5000左右一天,
cdn加速,是防CC的一个主要手段
CDN/Internet层CDN并不是一种抗DDOS的产品,但对于web类服务而言,他却正好有一定的抗DDOS能力,以大型电商的抢购为例,这个访问量非常大,从很多指标上看不亚于DDOS的CC,而在平台侧实际上在CDN层面用验证码过滤了绝大多数请求,最后到达数据库的请求只占整体请求量的很小一部分。对http CC类型的DDOS,不会直接到源站,CDN会先通过自身的带宽硬抗,抗不了的或者穿透CDN的动态请求会到源站,如果源站前端的抗DDOS能力或者源站前的带宽比较有限,就会被彻底DDOS。
如果你是正规网站,你别怕有攻击,不会有怎么大攻击的。正规网站他不会天天来打死你,攻击你的都是竞争对手。现在黑客主要攻击那些非正规的网站,H 站,棋牌,菠菜,都是攻击要钱的。
如果有一天,有人攻击你要钱,下面就是要做的事。
立案和追踪
目前对于流量在100G以上的攻击是可以立案的,这比过去幸福了很多。过去没有本土特色的资源甚至都没法立案,但是立案只是万里长征的第一步,如果你想找到人,必须成功完成以下步骤:
• 在海量的攻击中,寻找倒推的线索,找出可能是C&C服务器的IP或相关域名等
• “黑”吃“黑”,端掉C&C服务器
• 通过登录IP或借助第三方APT的大数据资源(如果你能得到的话)物理定位攻击者
• 陪叔叔们上门抓捕
• 上法庭诉讼
如果这个人没有特殊身份,也许你就能如愿,但假如遇到一些特殊人物,你几个月都白忙乎。而黑吃黑的能力则依赖于安全团队本身的渗透能力比较强,且有闲情逸致做这事。这个过程对很多企业来说成本还是有点高,光有实力的安全团队这条门槛就足以砍掉绝大多数公司。笔者过去也只是恰好有缘遇到了这么一个团队。
是有成功案例,燕郊,黄总,有人攻击他要钱,完了他打了几千,报警抓住了。但不是你报警就有人管你的,还得有关系(国情你懂的)不过,你可以找我呀,我可以告诉你怎么办呀。哈哈。
WEB网站攻击,一般流量,直接syn,udp,打不死,就攻击你的dns,不行还能举报你。
游戏网站,他不直接打死你,让你老掉线,玩不了,目的达到了。所以这类网站需要提前布置防护。
还有支付类网站。
中小企业,主要看攻击量的大小选择方案,如果你们公司不差钱,那就别向下看了,
下面我可是报行业内幕,
<30G攻击, 3000左右一个月,非连续攻击,可用,单机防,
<50G攻击,1万左右一个月,非连续攻击,可用,双机防,
<100G攻击,2~3万,连续攻击/日,需要用集群防,
<300G攻击,5~8万,连续攻击/日,需要集群,加CDN,学习百度云加速,国外的防护让CF帮着防,国内的找云堤防,
所以,总结一下哪些公司是骗人的,你们不要再白花钱去再测试了。我已经测试过了。