作者在購買DDoS防御上被騙了很多回，都說能防300G，500G，買完就防不住了。本文當然重點給大家說明中小企業(yè)如何防護ddos攻擊，成本等。

記住一句話Ddos攻擊是世界級的難題并沒有解決辦法只能緩解。攻擊流量是關鍵指標。攻擊流量的大小不同，用的防護方法不同。下面我們細說一下，不同攻擊量對應對方式。如果超過10G 攻擊流量，軟件防護就扯蛋。

WEB類型，這個是攻擊最多，防護方案更廣，可以選擇國內(nèi)、國外的CDN，就是花錢買CDN。

游戲類型，這個必須得放在國內(nèi)，放國外太卡，掉線，沒人玩了，解決辦法就是找第三方防ddos解決商，花錢買服務。

10G~50G的攻擊流量

10~50G的攻擊流量，國內(nèi)很多機房都可以防護，問題你給的錢夠不夠，IDC機房是否給你防護。

防護示意圖：

機房有一個總帶寬，如果你攻擊帶寬太大就影響他正常客戶，他就會找各種借口給你ip屏蔽。

很多攻擊持續(xù)的時間非常短，通常5分鐘以內(nèi)，流量圖上表現(xiàn)為突刺狀的脈沖。

實際對機房沒有什么影響，但是機房就給你ip屏蔽了，這個用于攻擊游戲類網(wǎng)站，搞一會一掉線，用戶全掉光了。

10G~50G之間，單機防護，浙江，江蘇，廣東，都可以防都可以防護，月成本2萬左右，（價格說小于1萬那就是騙子，已經(jīng)測試過）

網(wǎng)上很多說320G防護、無視DDos，全是吹牛的，他說的320G應當就是udp攻擊，因為電信上層給屏蔽了udp帶寬。

廣東有雙線，合適放游戲類網(wǎng)站，速度快，防護還可以。

廣東有些ip是屏蔽國外的流量，還有屏蔽聯(lián)通的流量，意思就是除了電信的別的地方的流量都過不來。

100～200G的攻擊流量

100～200G之間現(xiàn)在是關鍵了，現(xiàn)在攻擊這個是最多的，游戲類網(wǎng)站如果有怎么大攻擊放國內(nèi)，現(xiàn)在能有怎么大防護的，電信，廣東，福州，廣西，聯(lián)通有大連，

福州買過，2萬多一個月，說防300G，130G就給封了，騙子，DNS防護也不行，10G左右的dns攻擊直接搞死了。

廣東機房買過，3萬一個月，100G就給封了，不過廣東可以秒解，買200個ip，還是能防一會，廣東的直接訪問不了dns,機房做策略了。

廣西，這個正測試，前幾天放了dns在廣西機房，打死了。

DNS攻擊防護也是重點，買了dnspod的最貴那個版本3萬多/年，封了，dnspod也，老吳不在那了嗎？搞別的去了，現(xiàn)在真是垃圾，指著dnspod防護差遠了，我給大家介紹一下，google有dns防護，好用，比dnspod便宜很多，還有CF，也非常好，200刀，沒打死過。

上面就浪費十來萬，測試dns測試100G防護，總結的經(jīng)驗。

游戲的只能放國內(nèi)，還得看是udp,還是tcp，所以防護范圍小。

WEB的防護比較多，可以考慮放國外，現(xiàn)在國外比較能吹的，美國SK機房，防100G，買了，安排機器花了2天，這個攻擊完了ip,封1小時，真心不行。機房還老掉線，花了1萬左右可能一個月。

美國hs機房，防80G，一個月8萬，買了，打死了，他防到40G左右就給你封了，也跟騙子差不多，說是要加到200G防護，沒看到。

美國CD機房，最后花了>10萬每月，找的他們老板防住了，但是dns防護不行。

還有一家機房可以推薦，加拿大機房，單機防160G，集群480G，不封ip，防護還可以，缺點，卡，國內(nèi)ping掉包，8000左右一個月，20元一個ip,

上面速度最快的是hs機房國內(nèi)，150ms左右，沒攻擊的時候用用還行，有攻擊防護差點意思。

我不是給機房做廣告，我只是總結我最近防護的經(jīng)驗，國內(nèi)可以放免備案的機房也有，資源聯(lián)系方式，dns防攻擊500G，都可以，你聯(lián)系我，我可以免費告訴你這些資源的聯(lián)系方式，

云加速，國內(nèi)的云盾

最后說一下，云加速，國內(nèi)的云盾，收費死貴，防護不行，別看他家的了。

阿里云防護，單機防4個G，不貴，小企業(yè)可以用，缺點得備案，還有如果你有非法信息，他們可以直接給報官了（最垃圾的是這點）。

百度云加速，說是防1T攻擊，我認真研究了一下，他是聯(lián)合，國外的CF云加速，電信的云堤（近源清洗）說能防1T，攻擊400G他轉到CF國外，國內(nèi)600G攻擊，全是云堤防護的，

什么是近源清洗，就是江蘇有攻擊，到電信江蘇的出口的時候，isp，中國電信直接不讓他出口，

目前如中國電信的專門做抗DDOS的云堤提供了[近源清洗]和[流量壓制]的服務，對于購買其服務的廠商來說可以自定義需要黑洞路由的IP與電信的設備聯(lián)動，黑洞路由是一種簡單粗暴的方法，除了攻擊流量，部分真實用戶的訪問也會被一起黑洞掉，對用戶體驗是一種打折扣的行為，本質(zhì)上屬于為了保障留給其余用戶的鏈路帶寬的棄卒保帥的做法，之所以還會有這種收費服務是因為假如不這么做，全站服務會對所有用戶徹底無法訪問。對于云清洗廠商而言，實際上也需要借助黑洞路由與電信聯(lián)動。

百度云加速，還沒測試過，不評價，總結國內(nèi)的廠商全是吹牛B的比較多，行業(yè)就這樣，

國外的比較可靠，但是收費的確不便宜，三家，可以推薦，

亞馬遜，30G攻擊無視，攻擊大了，也給你封了，推薦他最大優(yōu)點，按流量收費，可以按小時收費，不要備案，國內(nèi)還得先備案，這我買6個節(jié)點，用三天死了。

CF加速，這個dns防護無敵，百度云加速就是聯(lián)合的他家。

akamai，這家是給蘋果做防護的，說只有蘋果發(fā)布會的打死過一次，我沒試太貴了，1G，3.5元，一天估計就得5000左右一天，

cdn加速，是防CC的一個主要手段

CDN/Internet層CDN并不是一種抗DDOS的產(chǎn)品，但對于web類服務而言，他卻正好有一定的抗DDOS能力，以大型電商的搶購為例，這個訪問量非常大，從很多指標上看不亞于DDOS的CC，而在平臺側實際上在CDN層面用驗證碼過濾了絕大多數(shù)請求，最后到達數(shù)據(jù)庫的請求只占整體請求量的很小一部分。對http CC類型的DDOS，不會直接到源站，CDN會先通過自身的帶寬硬抗，抗不了的或者穿透CDN的動態(tài)請求會到源站，如果源站前端的抗DDOS能力或者源站前的帶寬比較有限，就會被徹底DDOS。

如果你是正規(guī)網(wǎng)站，你別怕有攻擊，不會有怎么大攻擊的。正規(guī)網(wǎng)站他不會天天來打死你，攻擊你的都是競爭對手。現(xiàn)在黑客主要攻擊那些非正規(guī)的網(wǎng)站,H 站，棋牌，菠菜，都是攻擊要錢的。

如果有一天，有人攻擊你要錢，下面就是要做的事。

立案和追蹤

目前對于流量在100G以上的攻擊是可以立案的，這比過去幸福了很多。過去沒有本土特色的資源甚至都沒法立案，但是立案只是萬里長征的第一步，如果你想找到人，必須成功完成以下步驟：

• 在海量的攻擊中，尋找倒推的線索，找出可能是C&C服務器的IP或相關域名等

• “黑”吃“黑”，端掉C&C服務器

• 通過登錄IP或借助第三方APT的大數(shù)據(jù)資源（如果你能得到的話）物理定位攻擊者

• 陪叔叔們上門抓捕

• 上法庭訴訟

如果這個人沒有特殊身份，也許你就能如愿，但假如遇到一些特殊人物，你幾個月都白忙乎。而黑吃黑的能力則依賴于安全團隊本身的滲透能力比較強，且有閑情逸致做這事。這個過程對很多企業(yè)來說成本還是有點高，光有實力的安全團隊這條門檻就足以砍掉絕大多數(shù)公司。筆者過去也只是恰好有緣遇到了這么一個團隊。

是有成功案例，燕郊，黃總，有人攻擊他要錢，完了他打了幾千，報警抓住了。但不是你報警就有人管你的，還得有關系（國情你懂的）不過，你可以找我呀，我可以告訴你怎么辦呀。哈哈。