全球主机交流论坛

标题: 怎样才算DDOS防御? [打印本页]
作者: CheapLolicon    时间: 2017-1-30 03:43
标题: 怎样才算DDOS防御?
本帖最后由 CheapLolicon 于 2017-1-31 05:45 编辑

//2017年1月31日 05:44:05
感谢LOC大佬们的解答,明白了……漏进流量和商家吹比的锅

非常感谢以下4L6L12L21L等大佬们的解答

————————————————————————

最近想了想站点还是用有点DDOS防御的机子好了
不过又不想牺牲速度而选高仿机子(欧洲线路那类的),所以就想找些不怎么饶的美国低防机子

前几晚找了几台
结果就买了
rectified——打一下就死了的洛杉矶
LETBOX——buyvm黄牛洛杉矶
PhotonVPS——饭桶机房洛杉矶
ServerBound——绕出翔纽约

于是我自己测试时就用了某个免费1Gbps±和付费15Gbps+的DDOS服务来测试
(PS:付费的是不是真有15Gbps+我不知道,但姑且也打满机子的流量……还是有量的;至于免费的1Gbps±,我用nload命令看时确实都打了1G的量
(PS2:别问网站是什么,我不知道

——结果,丫的这几台打时候都在耗流量,没防御得到啊?!就算是免费1G也还在耗流量啊?说好的防御呢?逗我呢?!

……因为几台都一样,打的时候都在耗流量,CPU也在占用着,姑且没打死机子
(除了rectified,防御好像是防御到,但打15G时官方关机……

就怀疑是不是我把DDOS防御理解错了?

于是就去拿手头里的
wis法国OVH小鸡
KS3C加拿大OVH杜甫
来测试测试(打打)看


一开始打的时候确实是耗着流量
我台KS3C也卡了一下,不过没死机


但打了持续几分钟后,就没事了


看了一下邮件
嗯,kimsufi帮我防御下来了

DDOS防御是这样没错吧?

…………
……



但……为什么……我那几台美国低防就一直在耗流量呢



……我已经懒得分哪张截图是1G和15G了
反正无论是1G还是15G,LETBOX、Photon和ServerBound都有在耗流量
虽然打1G和15G所耗的速度也有些不同
而且Photon的CPU好像一直都没怎么高
但不管怎么说还是没DDOS防御啊?


ServerBound的发TK问,说是DDOS防御中心维护中?


LETBOX没回应,还反问我怎么知道……呵,我会说自己打自己吗


Photon的,我一开始就问好先了,但……为什么我测试的时候还是没防御啊



不过rectified的洛杉矶倒是能防得到,打1G时都没耗,打15G时也没怎么耗
——但,打15G时没多久ping不了网络了!
一开始我还以为是死机,不过想了想也不对啊……主要还是VPS控制面板里还是显示线上中,最重要的是,这现象已经是第二次了,两台不同的机子都一样
所以不用怀疑了,是官方我关机

…………
……
所以究竟是怎么样才算DDOS防御?
还是说我买的那几家都是没DDOS防御的假货吗……

另外请问一下以下
AlphaRacks的OVZ 防D套餐
SpartanHost的西雅图
virmach的纽约和加钱的Voxility洛杉矶
BuyVM的加钱号称500G防御的洛杉矶(?)
这几家哪家是有用点的?
作者: 62900015    时间: 2017-1-30 03:56
这么晚还不睡啊。
漏进来流量很正常,及时清洗了就没事了,关键看防火墙设置的策略是清洗还是硬肛,北美很多直接硬肛,带宽大设备好,不怕,香港小吸管就是秒级空路由。
上C3啊,2Gbps免费的防。
作者: CheapLolicon    时间: 2017-1-30 04:12
本帖最后由 CheapLolicon 于 2017-1-30 04:14 编辑
62900015 发表于 2017-1-30 03:56
这么晚还不睡啊。
漏进来流量很正常,及时清洗了就没事了,关键看防火墙设置的策略是清洗还是硬肛,北美很 ...


……熬夜了几天总感觉已经习惯了,现在丝毫不觉得困


好吧,被OVH高仿给忽略了漏进来流量……
但漏进来流量都差不多有机子带宽这么多也叫正常吗?
作者: 62900015    时间: 2017-1-30 04:30
本帖最后由 62900015 于 2017-1-30 04:32 编辑
CheapLolicon 发表于 2017-1-30 04:12
……熬夜了几天总感觉已经习惯了,现在丝毫不觉得困


很正常的,OVH的除了games系列的服务器之外其他的规则基本是一被DDOS就扔了UDP,然后那些攻击平台的流量大多都是DNS/NTP的UDP的反射放大,所以效果很好,基本无一漏网,OVH不会给用户做单独的规则,加钱都不行;

Voxility是BGP或者是tunnel接过去的,这个经常漏进来,我客户接过,然后这个由阈值设置,超过多少才清洗;

buyvm不知道现在是不是还是@domin的防护,如果是的话可以让他抓包看看;

要好防护基本是靠自己有设备分析定制规则(攻击不大),要防大的就是接各种清洗中心了(voxility、prolexic 、blacklotus之类的)这些平台上面也可以抓包搞。

前面回你的硬肛大概意思就是不超过你服务器带宽就不null你,哪怕是攻击流量,这种基本就是防火墙压根没开(这种一般接的清洗中心,开了以后要么改路由路径了要么改IP了)。

layer4基本靠洗,layer7基本靠规则滤,像hostloc这样的也算(回个帖子封了我3个IP了,这就是没做定制后垃圾的要死的通用规则)


要知道更多可以召唤@domin 大神,你能买到的很多带ddos防护的VPS都是他的客户,实力级大牛。
作者: CheapLolicon    时间: 2017-1-30 04:52
62900015 发表于 2017-1-30 04:30
很正常的,OVH的除了games系列的服务器之外其他的规则基本是一被DDOS就扔了UDP,然后那些攻击平台的流量 ...

原来如此,懂了,非常感谢大佬的回答

……不过等等,既有漏进流量又有要求阈值才洗,而且有些还是硬肛
这样说的话,一旦被打,就算有低防,漏进流量和不超阈值就不洗,这两点慢慢耗也能耗尽小鸡流量啊
而且耗流量的时候机子也卡卡的
看来想要好防御确实没这么简单
作者: domin    时间: 2017-1-30 06:27
CheapLolicon 发表于 2017-1-30 04:52
原来如此,懂了,非常感谢大佬的回答

……不过等等,既有漏进流量又有要求阈值才洗,而且有些还是硬肛


@62900015 buyvm 很久以前就没提供服务给他们了, buyvm 整一垃圾公司

@CheapLolicon  62900015说得对, 真正全方位防御不便宜, 很多时候遇到复杂的攻击, 需要根据攻击定制规则, 尽量避免误封.

你上面列出的, 其中 SpartanHost的西雅图是用的我的基础BGP防御. 你可以试试.
作者: 雨宫音羽    时间: 2017-1-30 07:45
domin 发表于 2017-1-30 06:27
@62900015 buyvm 很久以前就没提供服务给他们了, buyvm 整一垃圾公司

@CheapLolicon  62900015说得对,  ...

基础就那么好 不错啊
作者: 阿威    时间: 2017-1-30 09:24
早上起来就能看天方夜谭(褒),刺激
作者: SKIDROW    时间: 2017-1-30 13:57
对美帝欧壕ISP来说,1Gbps是正常流量
作者: 619054    时间: 2017-1-30 14:25
不超過1G 不會給你清洗的。
作者: zhou0911    时间: 2017-1-30 14:51
又学习了,坛子里大牛多啊
作者: qiqi13245    时间: 2017-1-30 15:08
这么说吧

目前VPS的清洗大概有三类
1、绕路清洗中心清洗,清洗中心代表是voxility
2、国人机房,金盾清洗
3、savvis,还有online家的sevi为代表的国外清洗设备

1的话,目前来看清洗效果还是不错的,但是的确跟LS的大佬说的,攻击大了后漏的很厉害。这家主要是欧洲和美国清洗,路线都不咋地。中国主要是route到欧洲,我也试过叫机房强制route到美国,线路也不咋地,telia的线路。
而且voxility自带L7级别的防御(80和443),但是真的是做的稀烂,恕我直言就是辣鸡,天天502。尤其是https有清洗的情况下,要提交证书给机房。不然你的https就残废了。而且一般机房不提供单独关闭L7清洗的功能,更别说单独关闭443了。这类清洗,稍微量大一点就要GG
代表商家:buyvm 还有一堆便宜的抗D vps
2的话,主要看默认策略,金盾的防御还是很好的,毕竟国人。参考效果看国内的抗D服务器,loc用的这家默认规则真的稀烂。。。capacity的话主要看机房的冗余宽带和再上层的设备。一般来说效果还是很好的,少许漏流量)但是对于某些类型的攻击清洗不咋地,可能会把宿主机搞死
代表商家:cnserver和hs(恕我直言,loc好像用的是hs,规则简直是垃圾至极)
3的话。。恩 一般来说效果最差,可能默认UDP都扛不住,要么直接全丢,要么漏一大堆。。如果碰上了这类防御,不仅防御量小,默认的规则要么是跟月经一样大侧漏,要么是封的到处不能访问,比如说中国就经常在默认的封禁列表。碰到这类清洗,请加钱上高级版本,找提供商自定义规则
代表商家:online ovh sharktech(ST的默认规则稍微好一点)

一般来说,能清洗的流量大小排序是 1>2>3
所以2和3的商家也会接1,部分地区或者流量太大了后会route到1,然后就傻逼了
(至于国内的某里云,马xx云,qing啥屁的,u啥鸡脖云 自己开发的防御,都是辣鸡,效果跟3差不多,可能还差一点)


不过说真的,恕我直言以上这几种抗D都是辣鸡

真要抗D,要么学cloudflare上anycast干,分散流量,增加端口数
要么交钱上 云堤 运营商级别防御+专人监控制定规则 保平安
作者: CheapLolicon    时间: 2017-1-30 15:42
qiqi13245 发表于 2017-1-30 15:08
这么说吧

目前VPS的清洗大概有三类

诶?原来OVH不是清洗中心分类吗……
作者: qiqi13245    时间: 2017-1-30 15:44
CheapLolicon 发表于 2017-1-30 15:42
诶?原来OVH不是清洗中心分类吗……

OVH有自己的清洗设备,他们也有清洗中心。一般法国都是直接清洗的,加拿大不太清楚会不会绕路清洗
作者: KKhost    时间: 2017-1-30 16:13
本帖最后由 KKhost 于 2017-1-30 16:25 编辑

好像说的很有道理
作者: 雨落无声4617    时间: 2017-1-30 16:34
恭喜楼主开创在LOC发表情包的先河,看得我都滑稽了。。。
作者: CheapLolicon    时间: 2017-1-30 18:08
domin 发表于 2017-1-30 06:27
@62900015 buyvm 很久以前就没提供服务给他们了, buyvm 整一垃圾公司

@CheapLolicon  62900015说得对,  ...


试了试SpartanHost的西雅图,确实很厉害
作者: Kirito    时间: 2017-1-30 18:15
雨落无声4617 发表于 2017-1-30 16:34
恭喜楼主开创在LOC发表情包的先河,看得我都滑稽了。。。

抓住弱受+大水逼
作者: 619054    时间: 2017-1-30 18:17
voxility 得上自己的XXX盾才能很好的抗C,有自己的xx盾漏的流量也不怕。
作者: loony    时间: 2017-1-30 18:22

防D OVH 最能抗
作者: DeepSkyFire    时间: 2017-1-30 18:44
首先我們得知道的一件事是,沒有能100%完全不誤殺完美清洗的通用抗DDOS規則。

就拿OVH來說,他們官方給出的用詞是緩解(Mitigation)而不是清洗(Clear)。

然而OVH並沒有提供CC(HTTP(S) GET/POST Flood)清洗的原因正如上面@qiqi13245所說的voxility的情況差不多,voxility所提供的CC清洗效果很差還不如不提供。然而就算是L4級別的DDOS攻擊,攻擊方式其實也是多種多樣,通用型的規則也不太可能做到100%排除。

一般大多數的DDOS攻擊檢測都是基於在交换机或者路由上的數據包統計tool,那這檢測規則要修改的話基本上也要對交換機或路由上的統計規則進行更改。

樓主提到了KS3C一開始卡了一下,其原因也就是因為這統計規則總是需要有響應時間,更何況kimsufi並沒有提供永久緩解(直接接在抗D路由上持續檢測),所以就有一定的響應時間與切換時間。

我們能見得到的大部分頁端的L4攻擊(特別是所謂免費的)基本都是使用DNS反射或NTP反射還有TCP-ACK握手包來進行攻擊的。那中間會不會摻雜些其他的流量?這個不抓包還真說不准,但以前壇子裏有個dalao金三胖有提到過OVH的ACK效驗包探測流程本身就會對偽造的SYN源IP進行探測,從理論上來說這確實沒什麼毛病。但問題金三胖dalao也指出來了“有事的是部分ISP探测到OVH防火墙的探测报文后认为是端口扫描,好了一个Abuse到OVH,OVH这2B不管什么原因就封你服务器。”但不得不說的是,這個問題幾乎在所有的IDC上都可能發生。

@qiqi13245所說的OVH是機房端硬防防禦其實並不正確,OVH有3個清洗池(分別位於法國魯貝、法國斯特拉斯堡和加拿大博阿努瓦),準確來說OVH與voxility使用的清洗技術也都是類似的,都是通過在各個交換機或路由上的統計檢測來觸發路由規則,觸發了之後就自動更改路由到清洗中心根據清洗設備的清洗規則來進行清洗。當然理論上OVH是完全能提供CC攻擊清洗的,但正如最上面所說,效果奇差還不如不提供。

說到這樓主可能會問了,既然如此那為什麼還會漏流量進來呢?其實根本原因還是在於過濾規則上。一個過濾設備不可能細緻到每一個數據包都頭尾檢查效驗,這樣效率實在是低的不能看。那為了效率應該怎麼辦?那就是使用採樣統計。一般的清洗設備的采样统计都有一個伐值,這伐值基本上是你服務器的保證帶寬中的40%或者其他比例(當然,這說的就是像OVH這種說給多少帶寬就給多少帶寬不會瞎JB吹的IDC。至於小機房小IDC誰知道他的伐值是多少呢?更何況是VPS。)。如果沒超過這個值一般清洗設備都不會去管,然而如果攻擊流量超過了這個伐值,一般的清洗設備都會對超出伐值的數據流按過濾規則清洗。什麼你問我在伐值內的那些攻擊數據包怎麼辦?反正這帶寬沒超,哥們你自己解決吧我才懶得管。

所以綜上所述,很明顯能得出一個結論就是:軟防還是要裝的。就算身處高防機房也一樣。

但抗DDOS除了這些檢測技術和通用規則以外很多人都忽略了一個最根本的東西:那就是IDC的冗餘帶寬夠不夠。所有的抗攻擊都得看IDC帶寬夠不夠為前提。

然而我們不得不面對的一個現實就是,這世界上有幾家IDC能像voxility和OVH一樣有這個錢買個幾個T的帶寬?特別是美國那地方,帶寬費用還是貴,有幾家IDC能接的起抗攻擊用的冗餘帶寬?就算有,價格肯定也是高的上天。然而接不起這帶寬我還不能吹麼?所以就孕育而生了一堆只會吹B一打就從中段秒nullroute(別跟我說nullroute是清洗,nullroute跟**了有啥區別?)的IDC。這就是很多人為什麼都在說低價高防當笑話看的根本原因。因為大多數美國IDC宣稱的高防(低價的就不用說了肯定是在吹B,然而高價的我也見識過80%防禦靠吹的IDC。)很多都是在吹B。在想明白了這點之後,我就根本不會在美國尋找什麼高防服務器了。因為美國那網絡環境,要高防我覺得真的對那些IDC勉為其難。

然後按照樓主給出的幾個機子,飯桶機房就不用說了,我跟你講個笑話“飯桶抗D”這梗已經流傳了好些年了。以前有些機房還會自己接帶寬自己搞硬防來過濾(現在也還有,反正也就個20G這樣的水平)。現在迫於成本,大多都是線路商提供的總清洗在賣給機房這樣(這樣成本低啊)。然而正如我剛剛上面所說的清洗設備的清洗方法,其實你就會發現,問題還是一樣的。漏出來的流量自然會被母雞的流量統計統計成使用流量。總而言之,我覺得在美國找價格較低效果又好的抗DVPS完全就是個笑話。

那麼漏量真的沒法解決了麼?有的。以上我所說的大多數IDC的通用抗D方式終歸是個基於黑名單模式的過濾規則。如果要想達到準確率高,那就需要轉換一個思路,使用白名單模式的過濾規則。什麼是白名單模式?打個比方,我們在使用Cloudflare的時候,Cloudflare只會轉發HTTP(S) POST/GET請求過來,然而這就是一種白名單模式,只允許執行的協議甚至是指定格式的數據包過來。也很幸運的是,樓主的使用需求是建站抗D而不是其他類型的抗D,站點抗D是相對來講比較輕鬆的事。什麼遊戲啊API的抗D抗C就真的沒這麼簡單了。

順帶一提:樓主我知道你也有混魂+這H漫論壇,所以我覺得你可以去請教一下跟那論壇猴子有PY交易的一個人(也可能是一個站,acgnx),我個人覺得他們在抗攻擊上下了很大的功夫。
作者: 梅长苏    时间: 2017-1-30 23:24
还是给我说说那免费1G DDOS哪儿搞得吧
作者: CheapLolicon    时间: 2017-1-30 23:41
本帖最后由 CheapLolicon 于 2017-1-31 05:04 编辑
DeepSkyFire 发表于 2017-1-30 18:44
首先我們得知道的一件事是,沒有能100%完全不誤殺完美清洗的通用抗DDOS規則。

就拿OVH來說,他們官方給出 ...


非常感谢大佬这么详细的解答
虽然我买之前也在论坛里搜过,但试了试果真饭桶防D是吹的……
还有感谢大佬提供防漏量思路,我继续去查查看(虽然我觉得以我的能力大概是找不到什么好方法了

另外Acgnx菊苣倒是有听说过,不过并没有与他相熟……有机会的话真想py看看
作者: DeepSkyFire    时间: 2017-1-31 00:05
CheapLolicon 发表于 2017-1-30 23:41
非常感谢大佬这么详细的解答
虽然我买之前也在论坛里搜过,但试了试果真饭桶防D是吹的……
还有感谢大佬 ...

上面忘了說了一點,漏量除了是採集統計的方式,還有一個就是黑名單規則的漏網之魚。其實要防漏量也不難,加入個盾雞來過濾就是。但總體來說,還不如加錢上Cloudflare簡單,當然一個月200刀也不便宜就是。只不過網站的抗D真的相比其他項目來的簡單。

你可以去魂+私信看看,我估計他是有真的有下功夫在研究過。
作者: domin    时间: 2017-1-31 01:42
DeepSkyFire 发表于 2017-1-30 18:44
首先我們得知道的一件事是,沒有能100%完全不誤殺完美清洗的通用抗DDOS規則。

就拿OVH來說,他們官方給出 ...

观点同意一半.
作者: domin    时间: 2017-1-31 01:43
CheapLolicon 发表于 2017-1-30 18:08
试了试SpartanHost的西雅图,确实很厉害

哪个IP? 我去看看漏了没.
作者: DeepSkyFire    时间: 2017-1-31 02:28
domin 发表于 2017-1-31 01:42
观点同意一半.

大佬肯定不同意我的美國高防VPS都是笑話的觀點
作者: domin    时间: 2017-1-31 02:32
DeepSkyFire 发表于 2017-1-31 02:28
大佬肯定不同意我的美國高防VPS都是笑話的觀點

这点确实不太同意. 你说得太绝对了.
是不是笑话, 还是主要看付的钱.
钱足够, 什么都有可能. 钱不够, 什么都有可能.
作者: DeepSkyFire    时间: 2017-1-31 02:42
domin 发表于 2017-1-31 02:32
这点确实不太同意. 你说得太绝对了.
是不是笑话, 还是主要看付的钱.
钱足够, 什么都有可能. 钱不够, 什 ...

說是這麼說,主要還是錢的問題。
還有一點是對比對象的問題,跟一堆vox的分銷和OVH比起來,美國的大部分高防VPS都沒什麼性價比。
當然,ovh和vox的防護能力基本上都聚集在歐洲這帶寬白菜價的地方,一般人能買得起買得到的高防也基本上是這兩家或者是這兩家的分銷。當然這便宜也是有代價的,速度和線路走法自然是比不過美國的,且這些分銷基本上都沒有什麼定制過濾規則的可能性。
然而我用過太多所謂自己宣稱是高防的美國機器,基本上沒幾個能有清洗能力。很多所謂的高防一被打秒空路由,我可不覺得空路由是什麼清洗能力。秒解也是。
作者: domin    时间: 2017-1-31 02:51
DeepSkyFire 发表于 2017-1-31 02:42
說是這麼說,主要還是錢的問題。
還有一點是對比對象的問題,跟一堆vox的分銷和OVH比起來,美國的大部分 ...

有钱了, 定制啥的都不是问题. 我前面就说过, 有些复杂的攻击, 必须要定制规则, 避免漏和误封. 靠默认的是不行的. 很多时候需要捉包分析, 跟客户沟通看保护的是什么服务从而制定合适的方案 这些都是我经常做的事情, 花费的人力不计其数.
美国带宽也确实是比欧洲的贵些, 抗攻击成本会更高. 所以 又便宜, 又能抗, 对国内 又快的VPS 不存在...
空路由不是抗攻击这个我同意.






作者: DeepSkyFire    时间: 2017-1-31 03:06
domin 发表于 2017-1-31 02:51
有钱了, 定制啥的都不是问题. 我前面就说过, 有些复杂的攻击, 必须要定制规则, 避免漏和误封. 靠默认的是 ...

然而大陸的坑爹雲們把空路由改了個名,美名黑洞防禦,騙的一群人還以為這些坑爹雲能扛揍。接著一堆國外的IDC也跟著這麼宣傳什麼秒解什麼黑洞牽引等等等。我個人覺得低於80G的清洗能力都不能算是高防。然而有多少IDC把5G 20G防禦吹成是高防的?其中還有多少是摻水的(例如飯桶)。當然我肯定是不會認同他們的說法,然而事實是還是有一堆人信了。正所謂一顆鳥屎壞一鍋粥,一棒子全打死也是無可奈何。

實際上對於像我們這種大部分都是建站的MJJ來說,ovh或者vox的默認規則確實足矣,當然套上個200刀的cloudflare也是個省事的辦法。但無論如何,我承認能像OVH那個價那個配置又那麼能扛然後又像C3的美國機子完全不存在。

說來說去還是沒錢的問題,高端的玩意我這種屌絲還是用不起。
作者: domin    时间: 2017-1-31 03:20
DeepSkyFire 发表于 2017-1-31 03:06
然而大陸的坑爹雲們把空路由改了個名,美名黑洞防禦,騙的一群人還以為這些坑爹雲能扛揍。接著一堆國 ...


哈哈. 有时候marketing scheme还是需要的. 不过我从来都不会乱吹. 根据老外付的钱, 我跟老外说, 就保证10G. 超过可能空路由, 虽然很多时候上100G都没空路由, 但我绝对不会吹成500G. 个人觉得我还是很厚道的.
作者: DeepSkyFire    时间: 2017-1-31 03:25
domin 发表于 2017-1-31 03:20
哈哈. 有时候marketing scheme还是需要的. 不过我从来都不会乱吹. 根据老外付的钱, 我跟老外说, 就保证10 ...

老闆這麼厚道咱們認識認識?有需求給我個骨折價?
作者: domin    时间: 2017-1-31 03:28
DeepSkyFire 发表于 2017-1-31 03:25
老闆這麼厚道咱們認識認識?有需求給我個骨折價?

可惜我不提供VPS.  Ramnode seattle倒是用的我的基础防御. 还有前面说的spartanthost
作者: DeepSkyFire    时间: 2017-1-31 03:31
domin 发表于 2017-1-31 03:28
可惜我不提供VPS.  Ramnode seattle倒是用的我的基础防御. 还有前面说的spartanthost  ...

我基本都不用VPS了,現在蝸居在歐洲用著白菜特價獨服度日。就線路差點延遲高點小日子我過的還是挺開心的。dalao的防禦線路都賣給seattle的?
作者: domin    时间: 2017-1-31 03:35
DeepSkyFire 发表于 2017-1-31 03:31
我基本都不用VPS了,現在蝸居在歐洲用著白菜特價獨服度日。就線路差點延遲高點小日子我過的還是挺開 ...

目前只有Seattle POP接了几个BGP防御的, 好几年了. 主要是因为这些BGP防御, 你想想要防御这么多IP, 攻击又多, 价格白菜, 所以不赚钱, 又累, 已经不接新的BGP客户了. 目前防御都是独服或者托管机器, 几个机房都有.  
作者: DeepSkyFire    时间: 2017-1-31 03:39
domin 发表于 2017-1-31 03:35
目前只有Seattle POP接了几个BGP防御的, 好几年了. 主要是因为这些BGP防御, 你想想要防御这么多IP, 攻击 ...

美國的帶寬其實我個人覺得還是貴了。BGP線路防禦那攻擊方式不是就會多種多樣?一個基礎規則+被攻擊現場分析來部署針對性策略?還是說用了統計模型實在是太複雜了才上人工?
作者: domin    时间: 2017-1-31 03:43
DeepSkyFire 发表于 2017-1-31 03:39
美國的帶寬其實我個人覺得還是貴了。BGP線路防禦那攻擊方式不是就會多種多樣?一個基礎規則+被攻擊現場分 ...

是很多种类攻击啊, 因为要保护多种服务, 并不是只保护网站. 如果只保护网站就简单多了.
一般用默认规则, 然后基础规则也有好几个, 具体看情况调整profile.
如果还是有问题, 要解决漏或者误封的话, 人工捉包和定制规则也是经常做的事情.
作者: DeepSkyFire    时间: 2017-1-31 03:48
domin 发表于 2017-1-31 03:43
是很多种类攻击啊, 因为要保护多种服务, 并不是只保护网站. 如果只保护网站就简单多了.
一般用默认规则, ...

只是保護網站的話那辦法確實是多種多樣還都簡單。那這樣豈不是的有人時不時得盯著看?
作者: domin    时间: 2017-1-31 04:01
DeepSkyFire 发表于 2017-1-31 03:48
只是保護網站的話那辦法確實是多種多樣還都簡單。那這樣豈不是的有人時不時得盯著看? ...

必须经常盯着. 不过也有些自动警报的设置.
作者: DeepSkyFire    时间: 2017-1-31 04:08
domin 发表于 2017-1-31 04:01
必须经常盯着. 不过也有些自动警报的设置.

這日子過久了會精神衰弱
作者: domin    时间: 2017-1-31 04:15
DeepSkyFire 发表于 2017-1-31 04:08
這日子過久了會精神衰弱

可能已经是了.
作者: CheapLolicon    时间: 2017-1-31 05:32
本帖最后由 CheapLolicon 于 2017-1-31 14:28 编辑
DeepSkyFire 发表于 2017-1-31 00:05
上面忘了說了一點,漏量除了是採集統計的方式,還有一個就是黑名單規則的漏網之魚。其實要防漏量也不難, ...


感谢补充……
其实我之前也想上过CF一了百了,但CF日常抽风,有时对移动不友好,垃圾移动说ban就ban……
所以不到万一时也不会上了(但有时嫌麻烦还是上了一了百了

之前也只是想找找有什么低防又不怎么绕的米国线路,结果……现在才发现原来我在做白日梦,漏量实在是意料之外

啊,说到CF……20刀付费的那个pro有用点吗?(商业的200刀实在买不起)
我是指速度方面
之前在V2EX里看到有人评测pro说其实也没差,我就没兴趣了……果真如此?
作者: CheapLolicon    时间: 2017-1-31 05:36
本帖最后由 CheapLolicon 于 2017-1-31 05:40 编辑
domin 发表于 2017-1-31 01:43
哪个IP? 我去看看漏了没.


104.194 开头的
姑且……自己用的测试1G和付费15G打的时候都没漏量……
虽然可能我自己测试(DD)姿势不对,但也满足了
本来最初的目的也只是选不怎么绕的米国低防线路,防防一些不速之客而已
不过有些防D的漏量不足方面倒是意料之外了
作者: domin    时间: 2017-1-31 06:32
CheapLolicon 发表于 2017-1-31 05:32
感谢补充……
其实我之前也想上过CF一了百了,但CF日常抽风,有时对移动不友好,垃圾移动说ban就ban……
...

Pro抗不了大攻击. 至于速度应该都差不多, CF目前对国内主要用Cogent.
作者: okhost    时间: 2017-1-31 10:18
涨姿势了 感谢各位大佬
作者: domin    时间: 2017-1-31 11:42
本帖最后由 domin 于 2017-1-31 11:44 编辑
CheapLolicon 发表于 2017-1-31 05:36
104.194 开头的
姑且……自己用的测试1G和付费15G打的时候都没漏量……
虽然可能我自己测试(DD)姿势不 ...


欢迎继续测试. 我自信除非是超级大的攻击抗不下来, 在漏和不漏的条件下, 就算是最基础的默认防御, 我的也肯定比那些老外的要过滤得完全, 我做防御的时候, OVH, Voxility, 翻桶等都还没出现呢.
作者: 阿威    时间: 2017-1-31 12:27
这几天刷屏一圈下来,想问楼主打算做什么站,求个VIP
作者: DeepSkyFire    时间: 2017-1-31 13:03
domin 发表于 2017-1-31 06:32
Pro抗不了大攻击. 至于速度应该都差不多, CF目前对国内主要用Cogent.

CF的免費版,20刀,200刀走的線路都不一樣。不過不管是GTT還是COGENT對大陸都慢沒什麼差別。20刀確實不怎麼扛揍。但也比好些只會吹比的低防VPS強了。dalao的公司是自己開的嗎。。。
作者: 62900015    时间: 2017-1-31 13:45
@domin @DeepSkyFire 还需要考虑线路多少的问题,比如Voxility,SEABONE那条线每天都丢包很多次,基本处于被打满的状态,用过一段时间的blacklotus,这货接了20多条,每条上面流量都很平均,效果不错。

前面DeepSkyFire提到的为什么会漏进来的部分我很同意,有些攻击量很小,也识别出来了是攻击流量,但是要重新BGP会影响整个/24之类的就只有放着不管了。
就像sunnyvision和enzu这样,一挨打马上/24就过去清洗了邻居也是很郁闷的事。
作者: domin    时间: 2017-1-31 13:57
本帖最后由 domin 于 2017-1-31 13:58 编辑
62900015 发表于 2017-1-31 13:45
@domin @DeepSkyFire 还需要考虑线路多少的问题,比如Voxility,SEABONE那条线每天都丢包很多次,基本处于 ...


Voxility 在美国的容量不大, 如果国内流量多的话, 不绕欧洲, 打过来把LA的seabone打满那是肯定的, 他们LA的seabone应该不会超20G容量, 甚至可能只有10G, 但他们别的地方的seabone不一定满. 也就是说只影响走LA seabone的客户, 这种客户对Voxility来说是很少数, 他们不太在意. Voxility在美国线路经常被打满掉包, 他们欧洲的就好很多,他们接的容量大部分在欧洲.
blacklotus被level3收购, 已经远离大众, 人家现在只会去忽悠大公司了.
为啥漏嘛, 原因有很多. 具体不一一说了. 你说的重新BGP那种情况会发生在自己没过滤能力的公司里, 如果自己就可以过滤的话, 就不会有这个问题.
作者: DeepSkyFire    时间: 2017-1-31 13:58
62900015 发表于 2017-1-31 13:45
@domin @DeepSkyFire 还需要考虑线路多少的问题,比如Voxility,SEABONE那条线每天都丢包很多次,基本处于 ...

blacklotus是level3的那個麼?那個我見識過感覺过滤效果一般般,可能是沒定制規則的原因?還有這貨真的好貴。
作者: domin    时间: 2017-1-31 14:00
DeepSkyFire 发表于 2017-1-31 13:58
blacklotus是level3的那個麼?那個我見識過感覺过滤效果一般般,可能是沒定制規則的原因?還有這貨真的好 ...


是被level3收购了, N年以前过滤效果很一般, 我还抢过它不少客户. 后来上了绿盟后就好多了, 反抢我客户, 是香港人投资的, 后来卖给香港人了, 最后来又卖给level3. 现在不知道啥情况.
作者: SKIDROW    时间: 2017-1-31 14:16
domin 发表于 2017-1-31 13:57
Voxility 在美国的容量不大, 如果国内流量多的话, 不绕欧洲, 打过来把LA的seabone打满那是肯定的, 他们LA ...


听某人说被攻击100G后直接切回Telia,永世不得翻身。
不绕回罗马尼亚应该算不错了……
作者: DeepSkyFire    时间: 2017-1-31 14:16
domin 发表于 2017-1-31 13:57
Voxility 在美国的容量不大, 如果国内流量多的话, 不绕欧洲, 打过来把LA的seabone打满那是肯定的, 他们LA ...

voxility的主要防護能力都在歐洲的,他們的北美地區的清洗能力差的半死。至於漏包,原因確實太多。很多都是規則不夠細和統計方式上的問題。現在blacklotus的過濾效果也還是挺一般的。
作者: domin    时间: 2017-1-31 14:19
SKIDROW 发表于 2017-1-31 14:16
听某人说被攻击100G后直接切回Telia,永世不得翻身。
不绕回罗马尼亚应该算不错了…… ...

他们在德国Frankfurt的Telia有80G. 切过去的话抗攻击效果还是不错的.
不过真的被国内流量干到这么大的话, 抽不抽风确实管不上了.
作者: 62900015    时间: 2017-1-31 14:21
DeepSkyFire 发表于 2017-1-31 13:58
blacklotus是level3的那個麼?那個我見識過感覺过滤效果一般般,可能是沒定制規則的原因?還有這貨真的好 ...

是的,被level3收了,他提供arbor的控制面板,可以自己抓包定制规则,价格不算贵的,15年的报价是$5k/100Gbps

@domin 自己没法滤的真的多,香港那几个搞高防的,想滤都没辙,成本太吓人了,比如从大陆过去的攻击,哪搞的了大带宽滤啊,根本滤不了,只能接incapsula和voxility之类的去异地洗了。
作者: domin    时间: 2017-1-31 14:23
DeepSkyFire 发表于 2017-1-31 14:16
voxility的主要防護能力都在歐洲的,他們的北美地區的清洗能力差的半死。至於漏包,原因確實太多。很多都 ...

Voxility最大的问题不在于容量, 或者是漏包. 是他们的墙是自己开发的, 算法有点那个, 过滤ack攻击会造成正常的访问也被拦截,误封. 这个问题比较严重. N年都没解决.
作者: DeepSkyFire    时间: 2017-1-31 14:32
62900015 发表于 2017-1-31 14:21
是的,被level3收了,他提供arbor的控制面板,可以自己抓包定制规则,价格不算贵的,15年的报价是$5k/100 ...

什麼時候降成這樣了 香港那地方怎麼可能搞得起本地清洗啊,那成本不可能我覺得。@domin voxility的ACK過濾沒有那SYN反向效驗我記得。這種自然會誤封。
作者: domin    时间: 2017-1-31 14:37
DeepSkyFire 发表于 2017-1-31 14:32
什麼時候降成這樣了 香港那地方怎麼可能搞得起本地清洗啊,那成本不可能我覺得。@domin voxility的ACK ...

$5k起步差不多吧, 都是大概这个价格. akamai, incapsula, cloudflare business基本上都在这个价格起步.
作者: DeepSkyFire    时间: 2017-1-31 14:39
domin 发表于 2017-1-31 14:37
$5k起步差不多吧, 都是大概这个价格. akamai, incapsula, cloudflare business基本上都在这个价格起步.  ...

之前我記得都破萬刀了,5K倒是可以
作者: domin    时间: 2017-1-31 14:43
DeepSkyFire 发表于 2017-1-31 14:39
之前我記得都破萬刀了,5K倒是可以

哈哈, 估计万刀没人买, 所以降价了嘛. 别人都这么便宜, 他不能这么贵啊.
作者: DeepSkyFire    时间: 2017-1-31 14:45
domin 发表于 2017-1-31 14:43
哈哈, 估计万刀没人买, 所以降价了嘛. 别人都这么便宜, 他不能这么贵啊.

萬刀還買的真的是人傻錢多。
作者: domin    时间: 2017-1-31 14:49
DeepSkyFire 发表于 2017-1-31 14:45
萬刀還買的真的是人傻錢多。

L3, Akamai, Incapsula, CF, 都是去搞些大公司客户, 银行啥的来赚钱的, 那些攻击少, 付的钱多.
其中最坑的是Akamai, 我被他坑了20K.  
最实际的要算CF
作者: DeepSkyFire    时间: 2017-1-31 15:13
domin 发表于 2017-1-31 14:49
L3, Akamai, Incapsula, CF, 都是去搞些大公司客户, 银行啥的来赚钱的, 那些攻击少, 付的钱多.
其中最坑 ...

akamai坑的有所耳聞,我完全不敢用

CF確實挺實在的,我現在都覺得CF那些什麼20刀200刀的套餐根本不掙錢
作者: 619054    时间: 2017-1-31 15:30
SKIDROW 发表于 2017-1-31 14:16
听某人说被攻击100G后直接切回Telia,永世不得翻身。
不绕回罗马尼亚应该算不错了…… ...

是300G 不是100...
作者: 62900015    时间: 2017-1-31 15:33
DeepSkyFire 发表于 2017-1-31 15:13
akamai坑的有所耳聞,我完全不敢用

CF確實挺實在的,我現在都覺得CF那些什麼20刀200刀的套餐根本 ...

销售资源嘛,同样资源量的情况下要么客单价高,要么流水高,下来都能有利润。
作者: DeepSkyFire    时间: 2017-1-31 16:03
62900015 发表于 2017-1-31 15:33
销售资源嘛,同样资源量的情况下要么客单价高,要么流水高,下来都能有利润。 ...

CF的帶寬資源看他們官網上說已經有10T了。不知道這有沒有摻水
作者: doors    时间: 2017-1-31 16:57
很精彩,学习了。 去年在阿里云的网站被了d了好几次,每次都是5-10g之间为主,过过年还有5天时来了次流量最大的,20不到点,都是每次被d都是急忙找论坛里的captain救急,像这样的攻击一般是不是都来自于国外这些专门提供ddos的网站?
作者: 62900015    时间: 2017-1-31 23:23
DeepSkyFire 发表于 2017-1-31 16:03
CF的帶寬資源看他們官網上說已經有10T了。不知道這有沒有摻水

IX我加了下一共2161Gbps(Port)其他的就不知道了,它在peeringdb上面没数据。
作者: 62900015    时间: 2017-1-31 23:25
doors 发表于 2017-1-31 16:57
很精彩,学习了。 去年在阿里云的网站被了d了好几次,每次都是5-10g之间为主,过过年还有5天时来了次流量最 ...

那可不一定,云堤上面的每天都是100G打底 http://www.damddos.com/networkattack.html#page2
作者: domin    时间: 2017-2-1 00:23
doors 发表于 2017-1-31 16:57
很精彩,学习了。 去年在阿里云的网站被了d了好几次,每次都是5-10g之间为主,过过年还有5天时来了次流量最 ...

国内的攻击大部分都是私人的肉鸡. 老外的就反射的比较多. 专门提供DDOS的站很多都是反射的, 成本低. 真正肉鸡的非常少.
作者: KKhost    时间: 2017-2-1 01:05
domin 发表于 2017-1-31 03:28
可惜我不提供VPS.  Ramnode seattle倒是用的我的基础防御. 还有前面说的spartanthost  ...

不提供VPS太可惜了,这么牛逼的能力什么时候造福一下我们这些穷人
作者: DeepSkyFire    时间: 2017-2-1 06:05
62900015 发表于 2017-1-31 23:25
那可不一定,云堤上面的每天都是100G打底 http://www.damddos.com/networkattack.html#page2 ...

我總覺得雲堤的那數據像是動畫。一直以來都是那樣沒啥變化。
作者: 62900015    时间: 2017-2-1 23:52
DeepSkyFire 发表于 2017-2-1 06:05
我總覺得雲堤的那數據像是動畫。一直以來都是那樣沒啥變化。

看被攻击统计左下角的排行,坛子里的某人上第一了,CT打到vox去了370Gbps。
作者: domin    时间: 2017-2-2 00:06
62900015 发表于 2017-2-1 23:52
看被攻击统计左下角的排行,坛子里的某人上第一了,CT打到vox去了370Gbps。 ...

想看看 可是半天打不开 370G那堵得死死的了. 没有国外ISP对CT交换超过80G的.
作者: domin    时间: 2017-2-2 00:11
打开了. 可是怎么看打到国外多少量? 找来找去没找到.
作者: DeepSkyFire    时间: 2017-2-2 00:17
62900015 发表于 2017-2-1 23:52
看被攻击统计左下角的排行,坛子里的某人上第一了,CT打到vox去了370Gbps。 ...

370G??这有点屌了啊,打vox洛杉矶去了?
作者: 619054    时间: 2017-2-2 00:37
DeepSkyFire 发表于 2017-2-2 00:17
370G??这有点屌了啊,打vox洛杉矶去了?

CT 370G +海外120G 總共遭遇490G 攻擊。
作者: domin    时间: 2017-2-2 01:28
DeepSkyFire 发表于 2017-2-2 00:17
370G??这有点屌了啊,打vox洛杉矶去了?

vox LA的ISP跟CT最多也就40G交换. 370G过去肯定堵塞了. 就算绕欧洲也会堵塞.
不过我找不到云提哪里可以看到攻击大小和国外目标
作者: DeepSkyFire    时间: 2017-2-2 03:29
domin 发表于 2017-2-2 01:28
vox LA的ISP跟CT最多也就40G交换. 370G过去肯定堵塞了. 就算绕欧洲也会堵塞.
不过我找不到云提哪里可以看 ...

80老闆發的那個鏈接進去然後鼠標滾輪滾一下就能看到第二頁了。這量能打的出去麼我覺得有點玄。
作者: domin    时间: 2017-2-2 03:31
DeepSkyFire 发表于 2017-2-2 03:29
80老闆發的那個鏈接進去然後鼠標滾輪滾一下就能看到第二頁了。這量能打的出去麼我覺得有點玄。 ...


我看到第二页, 但是第二页只是显示3个来源, 国际国内和电信. 而且是显示传输量Gbytes
怎样才能看到目标是哪个ISP? 难道我从美国看的不一样的啊
作者: DeepSkyFire    时间: 2017-2-2 03:33
domin 发表于 2017-2-2 03:31
我看到第二页, 但是第二页只是显示3个来源, 国际国内和电信. 而且是显示传输量Gbytes
怎样才能看到目标是 ...

本來就看不到的。。可能是80老闆知道內情。。
作者: domin    时间: 2017-2-2 03:36
DeepSkyFire 发表于 2017-2-2 03:33
本來就看不到的。。可能是80老闆知道內情。。

可能是80老板打的.

Vox后台倒是有带宽流量显示, 但不能看到CT打过来多少.
作者: DeepSkyFire    时间: 2017-2-2 03:39
domin 发表于 2017-2-2 03:36
可能是80老板打的.

Vox后台倒是有带宽流量显示, 但不能看到CT打过来多少.  ...

這種東西肯定是知情人士才會知道的,不過我很好奇的是大陸能打出370G的量,這成本得有多高
作者: domin    时间: 2017-2-2 03:42
DeepSkyFire 发表于 2017-2-2 03:39
這種東西肯定是知情人士才會知道的,不過我很好奇的是大陸能打出370G的量,這成本得有多高 ...


都是私有肉鸡. 之前他们说国内攻击国内700G的都有. 但打到国外去肯定没那么多了. 100G基本就堵死CT-国外ISP的交换了. 除非弄100G+电信直连来抗 - 正在向这个目标进军.
作者: DeepSkyFire    时间: 2017-2-2 03:43
domin 发表于 2017-2-2 03:42
都是私有肉鸡. 之前他们说国内攻击国内700G的都有. 但打到国外去肯定没那么多了. 100G基本就堵死CT-国外I ...

這又是何苦我覺得,白給狗電信送錢。
作者: domin    时间: 2017-2-2 03:45
DeepSkyFire 发表于 2017-2-2 03:43
這又是何苦我覺得,白給狗電信送錢。

我这边电信流量比较大.
作者: DeepSkyFire    时间: 2017-2-2 03:47
domin 发表于 2017-2-2 03:45
我这边电信流量比较大.

拿100G來硬扛這種垃圾量怎麼想都虧。繞去便宜的線路扛倒是還能接受
作者: domin    时间: 2017-2-2 04:11
DeepSkyFire 发表于 2017-2-2 03:47
拿100G來硬扛這種垃圾量怎麼想都虧。繞去便宜的線路扛倒是還能接受

当然不做亏本生意.
作者: 62900015    时间: 2017-2-2 17:41
domin 发表于 2017-2-2 03:36
可能是80老板打的.

Vox后台倒是有带宽流量显示, 但不能看到CT打过来多少.  ...

云堤这个只能看到别人打CT或者是CT打别人的,默认没有国外的,出现国外的了只有一种情况,就是CT打过去的,66to老板挨打以后telia把电信这边全null了的,移动和联通过去没问题。
作者: domin    时间: 2017-2-3 03:21
本帖最后由 domin 于 2017-2-3 03:24 编辑
62900015 发表于 2017-2-2 17:41
云堤这个只能看到别人打CT或者是CT打别人的,默认没有国外的,出现国外的了只有一种情况,就是CT打过去的 ...


怎样看CT打别人? 好像只显示来源, 没显示目标. 另外它显示的是Gbytes, 这个是一段时间的传输量. 不是Gbps, 这个怎样判断呢?




欢迎光临 全球主机交流论坛 (https://loc.888543.xyz/) Powered by Discuz! X3.4