怎样才算DDOS防御？

DeepSkyFire

首先我們得知道的一件事是，沒有能100%完全不誤殺完美清洗的通用抗DDOS規則。

就拿OVH來說，他們官方給出的用詞是緩解（Mitigation）而不是清洗（Clear）。

然而OVH並沒有提供CC（HTTP(S) GET/POST Flood）清洗的原因正如上面@qiqi13245所說的voxility的情況差不多，voxility所提供的CC清洗效果很差還不如不提供。然而就算是L4級別的DDOS攻擊，攻擊方式其實也是多種多樣，通用型的規則也不太可能做到100%排除。

一般大多數的DDOS攻擊檢測都是基於在交换机或者路由上的數據包統計tool,那這檢測規則要修改的話基本上也要對交換機或路由上的統計規則進行更改。

樓主提到了KS3C一開始卡了一下，其原因也就是因為這統計規則總是需要有響應時間，更何況kimsufi並沒有提供永久緩解（直接接在抗D路由上持續檢測），所以就有一定的響應時間與切換時間。

我們能見得到的大部分頁端的L4攻擊（特別是所謂免費的）基本都是使用DNS反射或NTP反射還有TCP-ACK握手包來進行攻擊的。那中間會不會摻雜些其他的流量？這個不抓包還真說不准，但以前壇子裏有個dalao金三胖有提到過OVH的ACK效驗包探測流程本身就會對偽造的SYN源IP進行探測，從理論上來說這確實沒什麼毛病。但問題金三胖dalao也指出來了“有事的是部分ISP探测到OVH防火墙的探测报文后认为是端口扫描，好了一个Abuse到OVH，OVH这2B不管什么原因就封你服务器。”但不得不說的是，這個問題幾乎在所有的IDC上都可能發生。

@qiqi13245所說的OVH是機房端硬防防禦其實並不正確，OVH有3個清洗池（分別位於法國魯貝、法國斯特拉斯堡和加拿大博阿努瓦），準確來說OVH與voxility使用的清洗技術也都是類似的，都是通過在各個交換機或路由上的統計檢測來觸發路由規則，觸發了之後就自動更改路由到清洗中心根據清洗設備的清洗規則來進行清洗。當然理論上OVH是完全能提供CC攻擊清洗的，但正如最上面所說，效果奇差還不如不提供。

說到這樓主可能會問了，既然如此那為什麼還會漏流量進來呢？其實根本原因還是在於過濾規則上。一個過濾設備不可能細緻到每一個數據包都頭尾檢查效驗，這樣效率實在是低的不能看。那為了效率應該怎麼辦？那就是使用採樣統計。一般的清洗設備的采样统计都有一個伐值，這伐值基本上是你服務器的保證帶寬中的40%或者其他比例（當然，這說的就是像OVH這種說給多少帶寬就給多少帶寬不會瞎JB吹的IDC。至於小機房小IDC誰知道他的伐值是多少呢？更何況是VPS。）。如果沒超過這個值一般清洗設備都不會去管，然而如果攻擊流量超過了這個伐值，一般的清洗設備都會對超出伐值的數據流按過濾規則清洗。什麼你問我在伐值內的那些攻擊數據包怎麼辦？反正這帶寬沒超，哥們你自己解決吧我才懶得管。

所以綜上所述，很明顯能得出一個結論就是：軟防還是要裝的。就算身處高防機房也一樣。

但抗DDOS除了這些檢測技術和通用規則以外很多人都忽略了一個最根本的東西：那就是IDC的冗餘帶寬夠不夠。所有的抗攻擊都得看IDC帶寬夠不夠為前提。

然而我們不得不面對的一個現實就是，這世界上有幾家IDC能像voxility和OVH一樣有這個錢買個幾個T的帶寬？特別是美國那地方，帶寬費用還是貴，有幾家IDC能接的起抗攻擊用的冗餘帶寬？就算有，價格肯定也是高的上天。然而接不起這帶寬我還不能吹麼？所以就孕育而生了一堆只會吹B一打就從中段秒nullroute（別跟我說nullroute是清洗，nullroute跟**了有啥區別？）的IDC。這就是很多人為什麼都在說低價高防當笑話看的根本原因。因為大多數美國IDC宣稱的高防（低價的就不用說了肯定是在吹B，然而高價的我也見識過80%防禦靠吹的IDC。）很多都是在吹B。在想明白了這點之後，我就根本不會在美國尋找什麼高防服務器了。因為美國那網絡環境，要高防我覺得真的對那些IDC勉為其難。

然後按照樓主給出的幾個機子，飯桶機房就不用說了，我跟你講個笑話“飯桶抗D”這梗已經流傳了好些年了。以前有些機房還會自己接帶寬自己搞硬防來過濾（現在也還有，反正也就個20G這樣的水平）。現在迫於成本，大多都是線路商提供的總清洗在賣給機房這樣（這樣成本低啊）。然而正如我剛剛上面所說的清洗設備的清洗方法，其實你就會發現，問題還是一樣的。漏出來的流量自然會被母雞的流量統計統計成使用流量。總而言之，我覺得在美國找價格較低效果又好的抗DVPS完全就是個笑話。

那麼漏量真的沒法解決了麼？有的。以上我所說的大多數IDC的通用抗D方式終歸是個基於黑名單模式的過濾規則。如果要想達到準確率高，那就需要轉換一個思路，使用白名單模式的過濾規則。什麼是白名單模式？打個比方，我們在使用Cloudflare的時候，Cloudflare只會轉發HTTP(S) POST/GET請求過來，然而這就是一種白名單模式，只允許執行的協議甚至是指定格式的數據包過來。也很幸運的是，樓主的使用需求是建站抗D而不是其他類型的抗D，站點抗D是相對來講比較輕鬆的事。什麼遊戲啊API的抗D抗C就真的沒這麼簡單了。

順帶一提：樓主我知道你也有混魂+這H漫論壇，所以我覺得你可以去請教一下跟那論壇猴子有PY交易的一個人（也可能是一個站，acgnx），我個人覺得他們在抗攻擊上下了很大的功夫。

梅长苏

还是给我说说那免费1G DDOS哪儿搞得吧

CheapLolicon

DeepSkyFire 发表于 2017-1-30 18:44
首先我們得知道的一件事是，沒有能100%完全不誤殺完美清洗的通用抗DDOS規則。

就拿OVH來說，他們官方給出 ...

非常感谢大佬这么详细的解答
虽然我买之前也在论坛里搜过，但试了试果真饭桶防D是吹的……
还有感谢大佬提供防漏量思路，我继续去查查看（虽然我觉得以我的能力大概是找不到什么好方法了

另外Acgnx菊苣倒是有听说过，不过并没有与他相熟……有机会的话真想py看看

DeepSkyFire

CheapLolicon 发表于 2017-1-30 23:41
非常感谢大佬这么详细的解答
虽然我买之前也在论坛里搜过，但试了试果真饭桶防D是吹的……
还有感谢大佬 ...

上面忘了說了一點，漏量除了是採集統計的方式，還有一個就是黑名單規則的漏網之魚。其實要防漏量也不難，加入個盾雞來過濾就是。但總體來說，還不如加錢上Cloudflare簡單，當然一個月200刀也不便宜就是。只不過網站的抗D真的相比其他項目來的簡單。

你可以去魂+私信看看，我估計他是有真的有下功夫在研究過。

domin

DeepSkyFire 发表于 2017-1-30 18:44
首先我們得知道的一件事是，沒有能100%完全不誤殺完美清洗的通用抗DDOS規則。

就拿OVH來說，他們官方給出 ...

观点同意一半.

domin

CheapLolicon 发表于 2017-1-30 18:08
试了试SpartanHost的西雅图，确实很厉害

哪个IP? 我去看看漏了没.

DeepSkyFire

domin 发表于 2017-1-31 01:42
观点同意一半.

大佬肯定不同意我的美國高防VPS都是笑話的觀點

domin

DeepSkyFire 发表于 2017-1-31 02:28
大佬肯定不同意我的美國高防VPS都是笑話的觀點

这点确实不太同意. 你说得太绝对了.
是不是笑话, 还是主要看付的钱.
钱足够, 什么都有可能. 钱不够, 什么都有可能.

DeepSkyFire

domin 发表于 2017-1-31 02:32
这点确实不太同意. 你说得太绝对了.
是不是笑话, 还是主要看付的钱.
钱足够, 什么都有可能. 钱不够, 什 ...

說是這麼說，主要還是錢的問題。
還有一點是對比對象的問題，跟一堆vox的分銷和OVH比起來，美國的大部分高防VPS都沒什麼性價比。
當然，ovh和vox的防護能力基本上都聚集在歐洲這帶寬白菜價的地方，一般人能買得起買得到的高防也基本上是這兩家或者是這兩家的分銷。當然這便宜也是有代價的，速度和線路走法自然是比不過美國的，且這些分銷基本上都沒有什麼定制過濾規則的可能性。
然而我用過太多所謂自己宣稱是高防的美國機器，基本上沒幾個能有清洗能力。很多所謂的高防一被打秒空路由，我可不覺得空路由是什麼清洗能力。秒解也是。

domin

DeepSkyFire 发表于 2017-1-31 02:42
說是這麼說，主要還是錢的問題。
還有一點是對比對象的問題，跟一堆vox的分銷和OVH比起來，美國的大部分 ...

有钱了, 定制啥的都不是问题. 我前面就说过, 有些复杂的攻击, 必须要定制规则, 避免漏和误封. 靠默认的是不行的. 很多时候需要捉包分析, 跟客户沟通看保护的是什么服务从而制定合适的方案 这些都是我经常做的事情, 花费的人力不计其数.
美国带宽也确实是比欧洲的贵些, 抗攻击成本会更高. 所以 又便宜, 又能抗, 对国内 又快的VPS 不存在...
空路由不是抗攻击这个我同意.