抗Ddos攻擊經驗及費用

作者在購買DDos防禦上被騙了很多回，都說能防300G，500G，買完就防不住了。本文當然重點給大家說明中小企業如何防護ddos攻擊，成本等。

記住一句話Ddos攻擊是世界級的難題並沒有解決辦法只能緩解。攻擊流量是關鍵指標。攻擊流量的大小不同，用的防護方法不同。下面我們細說一下，不同攻擊量對應對方式。如果超過10G 攻擊流量，軟體防護就扯蛋。

WEB型別，這個是攻擊最多，防護方案更廣，可以選擇國內、國外的CDN，就是花錢買CDN。

遊戲型別，這個必須得放在國內，放國外太卡，掉線，沒人玩了，解決辦法就是找第三方防ddos解決商，花錢買服務。

10G~50G的攻擊流量

10~50G的攻擊流量，國內很多機房都可以防護，問題你給的錢夠不夠，IDC機房是否給你防護。

防護示意圖：

機房有一個總頻寬，如果你攻擊頻寬太大就影響他正常客戶，他就會找各種藉口給你ip遮蔽。

很多攻擊持續的時間非常短，通常5分鐘以內，流量圖上表現為突刺狀的脈衝。

實際對機房沒有什麼影響，但是機房就給你ip遮蔽了，這個用於攻擊遊戲類網站，搞一會一掉線，使用者全掉光了。

10G~50G之間，單機防護，浙江，江蘇，廣東，都可以防都可以防護，月成本2萬左右，（價格說小於1萬那就是騙子，已經測試過）

網上很多說320G防護、無視DDos，全是吹牛的，他說的320G應當就是udp攻擊，因為電信上層給遮蔽了udp頻寬。

廣東有雙線，合適放遊戲類網站，速度快，防護還可以。

廣東有些ip是遮蔽國外的流量，還有遮蔽聯通的流量，意思就是除了電信的別的地方的流量都過不來。

100～200G的攻擊流量

100～200G之間現在是關鍵了，現在攻擊這個是最多的，遊戲類網站如果有怎麼大攻擊放國內，現在能有怎麼大防護的，電信，廣東，福州，廣西，聯通有大連，

福州買過，2萬多一個月，說防300G，130G就給封了，騙子，dns防護也不行，10G左右的dns攻擊直接搞死了。

廣東機房買過，3萬一個月，100G就給封了，不過廣東可以秒解，買200個ip，還是能防一會，廣東的直接訪問不了dns，機房做策略了。

廣西，這個正測試，前幾天放了dns在廣西機房，打死了。

DNS攻擊防護也是重點，買了dnspod的最貴那個版本3萬多/年，封了，dnspod也，老吳不在那了嗎？搞別的去了，現在真是垃圾，指著dnspod防護差遠了，我給大家介紹一下，google有dns防護，好用，比dnspod便宜很多，還有CF，也非常好，200刀，沒打死過。

上面就浪費十來萬，測試dns測試100G防護，總結的經驗。

遊戲的只能放國內，還得看是udp，還是tcp，所以防護範圍小。

WEB的防護比較多，可以考慮放國外，現在國外比較能吹的，美國SK機房，防100G，買了，安排機器花了2天，這個攻擊完了ip，封1小時，真心不行。機房還老掉線，花了1萬左右可能一個月。

美國hs機房，防80G，一個月8萬，買了，打死了，他防到40G左右就給你封了，也跟騙子差不多，說是要加到200G防護，沒看到。

美國CD機房，最後花了>10萬每月，找的他們老闆防住了，但是dns防護不行。

還有一家機房可以推薦，加拿大機房，單機防160G，叢集480G，不封ip，防護還可以，缺點，卡，國內ping掉包，8000左右一個月，20元一個ip，

上面速度最快的是hs機房國內，150ms左右，沒攻擊的時候用用還行，有攻擊防護差點意思。

我不是給機房做廣告，我只是總結我最近防護的經驗，國內可以放免備案的機房也有，資源聯絡方式，dns防攻擊500G，都可以，你聯絡我，我可以免費告訴你這些資源的聯絡方式，

雲加速，國內的雲盾

最後說一下，雲加速，國內的雲盾，收費死貴，防護不行，別看他家的了。

阿里雲防護，單機防4個G，不貴，小企業可以用，缺點得備案，還有如果你有非法資訊，他們可以直接給報官了（最垃圾的是這點）。

百度雲加速，說是防1T攻擊，我認真研究了一下，他是聯合，國外的CF雲加速，電信的雲堤（近源清洗）說能防1T，攻擊400G他轉到CF國外，國內600G攻擊，全是雲堤防護的，

什麼是近源清洗，就是江蘇有攻擊，到電信江蘇的出口的時候，isp，中國電信直接不讓他出口，

目前如中國電信的專門做抗DDOS的雲堤提供了［近源清洗］和［流量壓制］的服務，對於購買其服務的廠商來說可以自定義需要黑洞路由的IP與電信的裝置聯動，黑洞路由是一種簡單粗暴的方法，除了攻擊流量，部分真實使用者的訪問也會被一起黑洞掉，對使用者體驗是一種打折扣的行為，本質上屬於為了保障留給其餘使用者的鏈路頻寬的棄卒保帥的做法，之所以還會有這種收費服務是因為假如不這麼做，全站服務會對所有使用者徹底無法訪問。對於雲清洗廠商而言，實際上也需要藉助黑洞路由與電信聯動。

百度雲加速，還沒測試過，不評價，總結國內的廠商全是吹牛B的比較多，行業就這樣，

國外的比較可靠，但是收費的確不便宜，三家，可以推薦，

亞馬遜，30G攻擊無視，攻擊大了，也給你封了，推薦他最大優點，按流量收費，可以按小時收費，不要備案，國內還得先備案，這我買6個節點，用三天死了。

CF加速，這個dns防護無敵，百度雲加速就是聯合的他家。

akamai，這家是給蘋果做防護的，說只有蘋果釋出會的打死過一次，我沒試太貴了，1G，3。5元，一天估計就得5000左右一天，

cdn加速，是防CC的一個主要手段

CDN/Internet層CDN並不是一種抗DDOS的產品，但對於web類服務而言，他卻正好有一定的抗DDOS能力，以大型電商的搶購為例，這個訪問量非常大，從很多指標上看不亞於DDOS的CC，而在平臺側實際上在CDN層面用驗證碼過濾了絕大多數請求，最後到達資料庫的請求只佔整體請求量的很小一部分。對http CC型別的DDOS，不會直接到源站，CDN會先透過自身的頻寬硬抗，抗不了的或者穿透CDN的動態請求會到源站，如果源站前端的抗DDOS能力或者源站前的頻寬比較有限，就會被徹底DDOS。

如果你是正規網站，你別怕有攻擊，不會有怎麼大攻擊的。正規網站他不會天天來打死你，攻擊你的都是競爭對手。現在駭客主要攻擊那些非正規的網站，H 站，棋牌，菠菜，都是攻擊要錢的。

如果有一天，有人攻擊你要錢，下面就是要做的事。

立案和追蹤

目前對於流量在100G以上的攻擊是可以立案的，這比過去幸福了很多。過去沒有本土特色的資源甚至都沒法立案，但是立案只是萬里長征的第一步，如果你想找到人，必須成功完成以下步驟：

• 在海量的攻擊中，尋找倒推的線索，找出可能是C&C伺服器的IP或相關域名等

• “黑”吃“黑”，端掉C&C伺服器

• 透過登入IP或藉助第三方APT的大資料資源（如果你能得到的話）物理定位攻擊者

• 陪叔叔們上門抓捕

• 上法庭訴訟

如果這個人沒有特殊身份，也許你就能如願，但假如遇到一些特殊人物，你幾個月都白忙乎。而黑吃黑的能力則依賴於安全團隊本身的滲透能力比較強，且有閒情逸致做這事。這個過程對很多企業來說成本還是有點高，光有實力的安全團隊這條門檻就足以砍掉絕大多數公司。筆者過去也只是恰好有緣遇到了這麼一個團隊。

是有成功案例，燕郊，黃總，有人攻擊他要錢，完了他打了幾千，報警抓住了。但不是你報警就有人管你的，還得有關係（國情你懂的）不過，你可以找我呀，我可以告訴你怎麼辦呀。哈哈。

總結一下