半夜被报警电话叫醒,一看机器又进黑洞了。买的时候说好的100G防御,结果5G的SYN包直接把机房打挂,SSH都连不上。
这就是典型的买到了假防御。销售吹的牛逼别信,机器直接挂掉,被打穿的话只能干瞪眼。今天拆开看机房清洗硬指标,教你用包说话。
拆开看机房清洗硬指标
别听销售吹带宽多大。真遇到攻击,看的是BGP Anycast的调度能力。流量打进来,机房得能扛住Pps(包转发率)暴增。
- 抓包看回包:用tcpdump看SYN Cookie有没有正常触发,假防御直接丢包不响应。
- 测并发连接:跑个ab测试,看TCP半连接队列是不是瞬间被塞满。
- 查路由跳数:用mtr看攻击时延迟有没有剧烈波动,波动大说明没就近清洗。
排障的时候,直接敲这个命令看SYN包速率:
tcpdump -i eth0 -nn -c 100 'tcp[tcpflags] & (tcp-syn) != 0'三种防御方案实测对比
拿50Gbps的SYN Flood打过去,是骡子是马一目了然。
| 防御类型 | Pps包转发率表现 | SSH连通性 | 业务状态 |
|---|---|---|---|
| 共享硬防 | 瞬间打满,清洗节点瘫痪 | 超时断开 | 进黑洞,全网失联 |
| 单机假高防 | 内核协议栈崩溃 | 拒绝连接 | CPU 100%,假死 |
| 真实独享高防 | 平稳洗掉恶意包 | 延迟增加20ms | 正常提供服务 |
这三种业务千万别买它
不是所有业务都需要上高防,乱花钱纯属脑子进水。
- 日IP不过千的:买普通CDN或者小带宽机器就行,买高防纯浪费钱。
- 纯内网跑数据的:没外网暴露面,买高防毫无意义。
- 没技术团队的:不会调TC流量控制和内核参数,给你真高防你也用不明白。
作者简介:熬夜盯盘SRE,写了8年Shell脚本,专治各种网络不服。
业务老被打挂?直接测这台香港真实高防服务器,扛不住不收钱,立刻拿测试IP去压测。