怎样才算DDOS防御？

CheapLolicon

//2017年1月31日 05:44:05
感谢LOC大佬们的解答，明白了……漏进流量和商家吹比的锅

非常感谢以下4L、6L、12L、21L等大佬们的解答

————————————————————————

最近想了想站点还是用有点DDOS防御的机子好了
不过又不想牺牲速度而选高仿机子（欧洲线路那类的），所以就想找些不怎么饶的美国低防机子

前几晚找了几台
结果就买了
rectified——打一下就死了的洛杉矶
LETBOX——buyvm黄牛洛杉矶
PhotonVPS——饭桶机房洛杉矶
ServerBound——绕出翔纽约

于是我自己测试时就用了某个免费1Gbps±和付费15Gbps+的DDOS服务来测试
（PS：付费的是不是真有15Gbps+我不知道，但姑且也打满机子的流量……还是有量的；至于免费的1Gbps±，我用nload命令看时确实都打了1G的量
（PS2：别问网站是什么，我不知道

——结果，丫的这几台打时候都在耗流量，没防御得到啊？！就算是免费1G也还在耗流量啊？说好的防御呢？逗我呢？！

……因为几台都一样，打的时候都在耗流量，CPU也在占用着，姑且没打死机子
（除了rectified，防御好像是防御到，但打15G时官方关机……

就怀疑是不是我把DDOS防御理解错了？

于是就去拿手头里的
wis法国OVH小鸡
KS3C加拿大OVH杜甫
来测试测试（打打）看


一开始打的时候确实是耗着流量
我台KS3C也卡了一下，不过没死机


但打了持续几分钟后，就没事了


看了一下邮件
嗯，kimsufi帮我防御下来了

DDOS防御是这样没错吧？

…………
……



但……为什么……我那几台美国低防就一直在耗流量呢



……我已经懒得分哪张截图是1G和15G了
反正无论是1G还是15G，LETBOX、Photon和ServerBound都有在耗流量
虽然打1G和15G所耗的速度也有些不同
而且Photon的CPU好像一直都没怎么高
但不管怎么说还是没DDOS防御啊？


ServerBound的发TK问，说是DDOS防御中心维护中？


LETBOX没回应，还反问我怎么知道……呵，我会说自己打自己吗


Photon的，我一开始就问好先了，但……为什么我测试的时候还是没防御啊

。

不过rectified的洛杉矶倒是能防得到，打1G时都没耗，打15G时也没怎么耗
——但，打15G时没多久ping不了网络了！
一开始我还以为是死机，不过想了想也不对啊……主要还是VPS控制面板里还是显示线上中，最重要的是，这现象已经是第二次了，两台不同的机子都一样
所以不用怀疑了，是官方我关机

…………
……
所以究竟是怎么样才算DDOS防御？
还是说我买的那几家都是没DDOS防御的假货吗……

另外请问一下以下
AlphaRacks的OVZ 防D套餐
SpartanHost的西雅图
virmach的纽约和加钱的Voxility洛杉矶
BuyVM的加钱号称500G防御的洛杉矶（？）
这几家哪家是有用点的？

阿威

这几天刷屏一圈下来，想问楼主打算做什么站，求个VIP

62900015

这么晚还不睡啊。
漏进来流量很正常，及时清洗了就没事了，关键看防火墙设置的策略是清洗还是硬肛，北美很多直接硬肛，带宽大设备好，不怕，香港小吸管就是秒级空路由。
上C3啊，2Gbps免费的防。

CheapLolicon

62900015 发表于 2017-1-30 03:56
这么晚还不睡啊。
漏进来流量很正常，及时清洗了就没事了，关键看防火墙设置的策略是清洗还是硬肛，北美很 ...

……熬夜了几天总感觉已经习惯了，现在丝毫不觉得困


好吧，被OVH高仿给忽略了漏进来流量……
但漏进来流量都差不多有机子带宽这么多也叫正常吗？

62900015

CheapLolicon 发表于 2017-1-30 04:12
……熬夜了几天总感觉已经习惯了，现在丝毫不觉得困

很正常的，OVH的除了games系列的服务器之外其他的规则基本是一被DDOS就扔了UDP，然后那些攻击平台的流量大多都是DNS/NTP的UDP的反射放大，所以效果很好，基本无一漏网，OVH不会给用户做单独的规则，加钱都不行；

Voxility是BGP或者是tunnel接过去的，这个经常漏进来，我客户接过，然后这个由阈值设置，超过多少才清洗；

buyvm不知道现在是不是还是@domin的防护，如果是的话可以让他抓包看看；

要好防护基本是靠自己有设备分析定制规则（攻击不大），要防大的就是接各种清洗中心了（voxility、prolexic 、blacklotus之类的）这些平台上面也可以抓包搞。

前面回你的硬肛大概意思就是不超过你服务器带宽就不null你，哪怕是攻击流量，这种基本就是防火墙压根没开（这种一般接的清洗中心，开了以后要么改路由路径了要么改IP了）。

layer4基本靠洗，layer7基本靠规则滤，像hostloc这样的也算（回个帖子封了我3个IP了，这就是没做定制后垃圾的要死的通用规则）


要知道更多可以召唤@domin 大神，你能买到的很多带ddos防护的VPS都是他的客户，实力级大牛。

CheapLolicon

62900015 发表于 2017-1-30 04:30
很正常的，OVH的除了games系列的服务器之外其他的规则基本是一被DDOS就扔了UDP，然后那些攻击平台的流量 ...

原来如此，懂了，非常感谢大佬的回答

……不过等等，既有漏进流量又有要求阈值才洗，而且有些还是硬肛
这样说的话，一旦被打，就算有低防，漏进流量和不超阈值就不洗，这两点慢慢耗也能耗尽小鸡流量啊
而且耗流量的时候机子也卡卡的
看来想要好防御确实没这么简单

domin

CheapLolicon 发表于 2017-1-30 04:52
原来如此，懂了，非常感谢大佬的回答

……不过等等，既有漏进流量又有要求阈值才洗，而且有些还是硬肛

@62900015 buyvm 很久以前就没提供服务给他们了, buyvm 整一垃圾公司

@CheapLolicon  62900015说得对, 真正全方位防御不便宜, 很多时候遇到复杂的攻击, 需要根据攻击定制规则, 尽量避免误封.

你上面列出的, 其中 SpartanHost的西雅图是用的我的基础BGP防御. 你可以试试.

雨宫音羽

domin 发表于 2017-1-30 06:27
@62900015 buyvm 很久以前就没提供服务给他们了, buyvm 整一垃圾公司

@CheapLolicon  62900015说得对,  ...

基础就那么好 不错啊

阿威

早上起来就能看天方夜谭（褒），刺激

SKIDROW

对美帝欧壕ISP来说，1Gbps是正常流量

619054

不超過1G 不會給你清洗的。