抗攻击，这两年一路走来（原创）

66ip1

（之一）起点

好象是三年前了，那个春节宅在家里，在那个小房间里独自走来走去，研究出所谓的中美双线，于是开始开卖VPS。很快，看到许多人被攻击，于是对抗攻击这个话题开始感兴趣。

现在想起来，开始的认识是比较肤浅的。当时认为中美双线可以有效地抑制攻击，其实一攻击入口就阻住了。当时看到BURST的线路有DDOS墙，于是弄了他的线路，对外号称起防攻击来。但很快就被84警告了！原来人家的防攻击只是个摆设。

又有了一个想法：如果用iptables将入口的流量，根据IP地址的范围进行限制，每个地区的IP只允许通过一定量的数据包，不是可以防住攻击吗？于是写了很长的规则，找中国的准确的IP地址范围也找了很久。但实际用起来，只能用不堪一击来说。引用一位网友的话：攻击其实是拼流量，大流量来了线路都阻住了，你还来用iptables来简单地区分流量，管屁用。

还用过国内的一些软件墙。X盾之类的，基本没多大用处，因为现在的攻击实在是太厉害了，非当年可以相比。特别是那种几乎与真实访问相同的CC，实在是难以处置。


（之二）CDN的故事

很长的一段时间，在防攻击上感觉很失败。有一天发现了cloudflare，于是发现了一个新天地。但很快就发现它也不行。稍微攻击大点就直接指向源地址了，也很不稳定，于是放弃。

又找了美国另两家CDN，一家只能将所有页作为静态页来缓存，实用性太差；另一家倒是很不错，直到现在为止我都认为比cloudflare好得多了，我也用得很久，但后来有一天，他在节点好象坏了好些天，一直未修复，也许是因为我用得免费太久了？于是不得不放弃。


（之三）智能DNS多点防攻的经历
因为教过《TCP/IP协议》这个课，对智能DNS有些了解。看到国内有些公司将之与反向透明代理结合，用之于抗攻击，于是自己也产生了实践一下的想法，这应该是一年前左右的想法了。

于是一度买过很多家的美国VPS，凡是比较便宜的大公司的几乎都买过，借助于DNSPOD等智能DNS，简单地实现了防攻击的体系。但实际的效果却很差！美国人对攻击都很敏感的，即使声称抗攻击的VPS，真你的攻击稍大点都会空路由你；一般的VPS更是直接就关掉。为数不多的那几个节点，很快就被执着的攻击者给逐个击破了。


（之四）寻找专业提供商
过去的一年，很长的时间生存在不断的反省之中，一些曾经接的防攻击客户也不得不放弃。是否是因为自己不够专业呢？这个世界是讲究分工的，抗攻击应该由专门的抗攻击来做。

于是开始找一些专门的防攻击线路。其间买过santrex、ST、b****几家，还了解过SK。santrex与b****自称用的是AWKNET线路。

Santrex在国外的口碑极差，WHT上很多人骂他们是骗子，我用了几个月感觉还是比较稳定的。但后来攻击估计是太大了，他们暂停了服务，我也就放弃了。

B****的TICKET响应很快，但稍有攻击就停了IP，估计防的级别比较低的。但攻击停止他们又会很快恢复的，其间收过他们一个警告邮件，声称受到了极高的UDP攻击，所以要禁止 UDP流量。因为我买的几个IP大部分时间都处于空路由状态，所以也放弃了。

ST的后台很好，会告诉你受到的攻击的日志，包括攻击的量。他也明确说自己只防护100M的攻击，超出就空路由。我一个客户基本不用的站，放上去后基本24小时处于被攻并空路由状态。我很不明白，我估计是不是CC攻击稍大点都会被美国人理解是超出100M的攻击？ST的没到期我就放弃了。

SK我自己没用，是我一个客户朋友用的，据他的描述应该防护强度与ST差不多。

我个人认为：ST SK AWKNET作为美国专业的防攻击提供商，其抗攻的水平应该是很高的，只是我们一般花的几百人民币人家只提供最低级别的防护，也就是100M左右吧？！

(之五)走一条新的路
尚在进行中，从当前看有效果，留待未来续写。

特别还要说下DNS的防攻击。我曾长期用着一家国内的智能DNS解析，但几天前受到黑客的DNS攻击而被暂时停止解析；此前我的一位防攻击客户也遇到过这个现象，当时他更惨，连换了几家常见解析商都因攻击被移走，包括GOD****、H*、还有我用过的国内的智能解析商。其实DNS攻击比较好解决，找家国外老牌点的解析商、且国人不常用的基本就解决了。

аdmin

留妹子 走人

z6045670

楼主话太多了

总是吵架的猪

小新

居然没写完。。

老刘

方向只有一个:烧钱堆硬件,堆带宽

瘦够了

楼主如果用amazon、akamai、chinacache的话只要有钱，神马攻击都是浮云