Здесь собраны все приемлемые для гражданских лиц анти-D решения. Про высококлассные типа Amazon/Wangsu.com писать не буду. Sharktech/Psychz больше не будет писать ложные метки. Если вы позвоните на 10G, он будет отключен или обойден. Если я и измерял количество гигабайт, то это из платного пакета загрузочной станции, которую я купил ранее. Неизвестно, разбавлен ли реальный объем атаки. Я не особо разбираюсь в типах DDOS, поэтому говорю в общих чертах. Любые дополнительные поправки приветствуются. 0.CeraNetworks（BGP） Крупнейшие провайдеры широкополосного доступа в Китае и США, кластеры межсетевых экранов и качественная защита. Исключительно для богатых людей. 1.Cloudflare（CDN） Никаких предисловий, все это знают. Давайте в основном поговорим о разнице между пакетами. Раньше пользовался бесплатным пакетом (примерно в 2017 году) и столкнулся с DDOS (по оценкам, трафик должен начаться не менее 10G). Я перешел на CF (бэкенд тоже поменял IP. Через несколько дней проблем не было). он стал недоступен из Китая. Однако сама машина работает без сбоев, и вы можете получить доступ к зарубежным веб-сайтам. Затем я купил пакет за 20 долларов, и доступ к сайту снова можно получить без проблем. Не знаю, был ли он заблокирован платным WAF из-за CC или бесплатная версия была отправлена ​​на мусорный узел Anycast (данное утверждение не подтверждено, но об этом говорили многие). В любом случае, бесплатная версия в то время не могла противостоять атакам с интенсивным трафиком, даже если был включен 5-секундный щит. Обычно бесплатная загрузка и другие атаки начальной школы можно было заблокировать, но в критические моменты приходилось использовать платную версию. 2.DDOS-GUARD（CDN）//ddos-guard.net/en/store/detail?productId=105 По сути, никто не знает о семье Маози. Бесплатный пакет аналогичен CF, с одним доменным именем, вы можете приобрести несколько, а также имеет SSL (на веб-сайте необходимо перенаправить http). Я повесил трубку на одной станции и попробовал линии China Unicom и Telecom, идущие в Россию. Раньше China Mobile ходила по Соединенным Штатам, но теперь они идут в Европу через NTT или Goutong. Общая скорость лучше, чем CF. С DDCC я не сталкивался, поэтому не знаю, насколько эффективна защита, но на официальном сайте утверждается, что линии BGP справляются с 1T+. Недостатком является то, что бесплатный пакет действует всего 5 секунд, и нет возможности установить частоту активации (можно установить только для платной версии). По сути, он появится после нескольких обновлений. Если на веб-сайте много вызовов JS, то использование их бесплатной версии часто не загружается. 3.VOXILITY（BGP） Это очень популярно на рынке,Будь то американские или европейские машины,Высокая защита часто посещает его дом. Используется хостинг компьютерного зала или доступ к линии.,Непосредственно назначьте IP-адрес с высокой степенью защиты. Я использую аппарат, подключенный к линии его румынского штаба, уже несколько месяцев.,Это не очень хорошо. Линия не очень быстрая, когда вас не бьют.,Пока поток немного выше,Ограничение скорости на пути вверх。Когда ограничение скоростисервер Скорость загрузки（клиент->Хозяин）В принципе, сколькоKBодна секунда,дажеAPT UPGRADE не может работать должным образом, не говоря уже о загрузке изображений на веб-сайт. Некоторые говорят, что можно установить уровень защиты, но большинство хостинг-провайдеров (в том числе и мой) не устанавливают функцию межсетевого экрана VOX. И я слышал, что понижение уровня защиты вызовет боковую утечку и ударит напрямую по серверу, почти без анти-D-эффекта. Самое отвратительное, что после атаки со стороны LAYER7 он автоматически заменит ваш SSL-сертификат, что приведет к ошибке сертификата при доступе к сайту по https. Официальное описание гласит, что можно привязать SSL-сертификат к IP, но я так и не понял, как это сделать. Похоже, для привязки IP нужно купить корпоративный EV-сертификат. В любом случае, его использование доставляет много хлопот. Хотя он может противостоять D, он подходит только для веб-сайтов с http-дисплеем или текстовых форумов. 4.OVH（IDC） Жесткая защита OVH не является преувеличением. По сути, я никогда не видел, чтобы сервер OVH был парализован. Но это означает, что DDOS-трафик не сможет дойти до хоста и не вызовет отключения или большого наплыва доступа. Это не означает, что сеть можно будет использовать нормально. Независимо от того, в каком компьютерном зале находится OVH, широкополосный доступ к материковому Китаю невелик. Поэтому, как только вы столкнетесь с большим количеством DDOS-атак (кто-то сказал 100G, я не проверял) и трафик не достигнет OVH, оператор очистит ваш IP ради стабильности сети, поэтому эффект защиты не очень хороший. для бытовых пользователей. Кроме того, я думаю, все слышали о трагических мусорных линиях OVH. Даже европейские компьютерные залы не могут подключиться к SSH. Канада и Сидней могут подключиться к сайту, но загрузка занимает около 8 секунд. Недавно в Сингапуре была проведена так называемая оптимизация маршрута. Он использует японскую линию NTT. Скорость лучше, чем в других компьютерных залах, но играть не разрешено (проверено 50G + материковый воздушный маршрут). строгий и старшие сестры не допускаются. 5. Режим атаки на материк (предположение о CF-фильтрации не соответствует действительности и удалено, благодаря dream7758521) 中国用户/DDOSкурица-бройлер->Материковые операторы（телекоммуникации/Чайна Юником/двигаться）->Международная экспортная широкополосная связь->иностранный оператор->IDCмашинное отделение->сервер Основой защиты от DDOS является конкуренция за полосу пропускания. Если пропускная способность определенной линии меньше пропускной способности DDOS, она обязательно будет парализована. Чтобы решить эту проблему, либо увеличьте пропускную способность (или перенаправьте ее на несколько линий), примите большой объем данных и отфильтруйте их в компьютерном зале IDC. Либо обработайте его в источнике атаки, чтобы вредоносный трафик не мог попасть в международную выходную широкополосную сеть. Если все DDOS-атаки исходят из материкового Китая, то узкими местами станут средние звенья. Наиболее важным является международный экспортный широкополосный доступ. Если общий объем широкополосного доступа к определенному IP-адресу превышает определенную долю международного экспортного широкополосного доступа, материковый оператор заблокирует IP (пустой маршрут) или обойдет трафик доступа в другие страны-экспортеры (например,). т.к. изначально путешествуя по США, я сменил маршрут на Европу). Cloudflare имеет доступ к линии 163 (прямое телекоммуникационное соединение) и разделяет 300G (спасибо 66.to за исправление). Если количество атак с материка слишком велико, прямая линия определенно не поможет вам противостоять (но, как правило, она не может победить 50G). , и его следует обойти или использовать. Для маршрутизации спама порог для платных пользователей выше, чем для бесплатных пользователей. С добавлением WAF возможности защиты немного выше, но в целом скорость бесплатных и платных пользователей является одинаковой. то же самое, когда нет атаки. И Cera, и VOX являются маршрутами BGP, что означает, что они могут получить доступ к N операторам и автоматически планировать, какой маршрут выбрать. Как и у Cera, все линии в Китае и США имеют доступ более 1Т, каждая машина имеет свой широкополосный доступ, а цена заоблачная. Общий объем доступа к VOX должен быть довольно большим. Хотя он может выдерживать большой трафик, как Cera, качество линии относительно низкое. 6. Резюме Прежде всего, веб-сайт должен хорошо обеспечивать безопасность программы, иначе его легко обойти, и защита не справится. Рекомендуется использовать OVH для серверной части. В конце концов, с точки зрения защиты данных OVH имеет хорошую репутацию. Рекомендуется использовать CF для внешней части. Обычно небольшие веб-сайты, такие как личные блоги, подвергаются атакам учеников начальной школы, демонстрирующих свои навыки. В конце концов, freeboot может атаковать их бесплатно. Просто установите CF или купите машину с низкой защитой, способную работать с 5G+. Поскольку есть конкуренты, сайты фотоальбомов обычно заполнены платными загрузками, которые не могут превышать 50G, и не все источники бройлеров являются отечественными. Бесплатного пакета CF достаточно, чтобы выдержать это. Если вы не можете устоять, купите платный пакет. в месяц (DDOS- Если знаешь как настроить GUARD, то можно и заплатить, но бесплатная версия слишком мучительна). Атаки стоимостью в сотни гигабайт обычно совершаются людьми, которые испытывают глубокую ненависть к определенному веб-сайту. Стоимость покупки пакета загрузочной атаки недешева. Обычно для борьбы с ним рекомендуется использовать CF Enterprise Edition. ты не сможешь убить противника за месяц или два, ты потеряешь энергию. Если атака типа CF слишком велика, обязательно возникнут такие проблемы, как медленный доступ/обрыв линии. Если вам нужен высококачественный, быстрый и стабильный доступ, вы должны быть готовы потратить много денег и приобрести корпоративный пакет Cera. . Если есть 200G+ и большое количество домашних атак, ЦК партии в основном нацелен на них, поэтому им следует собраться и бежать.

Добрые советы:Эта статья последний раз обновлялась2022-03-02,Если документ или контент содержат ошибки или больше не действительны,пожалуйста, нижесообщение。