转载：hostloc.com

这里收集的都是平民可接受的抗D方案，亚马逊/网宿那类高大上的在这就不写了。Sharktech/Psychz那种虚标的也不写了，10G打过去就关机或绕路。

多少G如果是我测过的，都是以前买的booter站付费套餐，实际攻击量有没有掺水不得而知。对DDOS种类也没啥了解，只是泛泛而谈，欢迎补充指正。

1.CeraNetworks（BGP）

中美宽带大户，远超楼下几家。防火墙集群，高质量防御。土豪专用。

2.Cloudflare（CDN）

不多介绍了，都知道。主要说下套餐区别。之前（2017年左右）用免费套餐，遇到（流量估算至少10G起步）DDOS，切到了CF（后端也换了IP），刚开始没问题，过几天从国内就没法访问了，但是机器本身运行平稳，挂梯子也能访问。然后买了20刀套餐，网站又能访问了，而且没出啥问题。

不知道是遇到CC了被付费WAF挡住了，还是免费版被Anycast到了垃圾节点（这种说法没有实锤，不过很多人都说过）。反正当时免费版即便开了5秒盾也抗不住大流量攻击，平时freeboot一类小学生攻击可以挡住，关键时候还要上付费版。

3.DDOS-GUARD（CDN）

毛子家的，基本上没啥人知道。免费套餐和CF差不多，单域名，可以购买多个，也有SSL（http需要在网站设置跳转）。有个站挂了一下试了试，联通和电信线路走俄罗斯，移动以前绕美，现在走NTT或狗通走欧洲了，整体速度比CF要好。

没遇到DDCC，不知道防御效果如何，但官网声称也是BGP线路能扛1T+。缺点是免费套餐动不动就5秒盾，还没法设置开启频率（付费版才能设置）。基本刷新几次就会出，如果网站有大量JS调用，那用他家免费版就动不动加载失败了。

4.VOXILITY（BGP）

这家市面上很流行，无论美国还是欧洲机器，高防经常接入他家。采用的是机房托管或线路接入，直接分配高防IP的形式。我用了几个月接入他家罗马尼亚总部线路的机器，感觉实在不怎么样。不被打的时候线路就不怎么快，只要流量稍微一高，上行就限速。限速的时候服务器下载速度（客户->主机）基本是几KB一秒，连APT UPGRADE都不能正常运行，更别说网站上传图片啥的。这个有人说可以设置防御级别，但是大多主机商（包括我那家）都不会给VOX防火墙设定功能的。而且听说把防御级别调低的话就会侧漏，直接打到服务器，抗D效果几乎没有。

最恶心的是他家被LAYER7攻击后，会自动替换你的SSL证书，导致https访问网站时提示证书错误。官方说明是可以给IP绑定SSL证书，但是我一直没搞明白怎么弄，好像必须得买企业EV证书才能绑IP。反正使用起来麻烦多多，虽然能抗D但只适合http展示类网站或者文字论坛。

5.OVH（IDC）

OVH家的硬防不是吹的，基本上没见过把OVH服务器打瘫痪的。但是这个指的是DDOS流量无法到达主机，不会导致关机或涌入大量访问，不代表网络就能正常使用。

OVH无论哪个机房，和中国大陆接入的宽带都不大。所以一旦遇到大量DDOS（别人说100G，我没测过）攻击，流量还没有到达OVH时，运营商为了网络稳定就会把你IP空路由，所以对于国内用户来说防御效果不好。此外OVH惨绝人寰的垃圾线路相信大家都有所耳闻，欧洲机房SSH都连不上，加拿大、悉尼能连上网站但也基本8秒左右才能加载。最近出了个新加坡所谓路由优化，走日本NTT线路，速度比其他机房好点，但是也不禁打（实测50G+大陆空路由），管理也非常严格，禁止大姐姐。

6.大陆攻击模式

中国用户/DDOS肉鸡->大陆运营商（电信/联通/移动）->国际出口宽带->外国运营商->IDC机房->服务器

DDOS防御的基础是带宽对拼，如果某条线路带宽小于DDOS带宽，那肯定是会瘫痪的。解决这种问题，要么提升带宽（或分流到多条线路），承接大量数据，在IDC机房进行过滤。要么在攻击源头路由进行处理，让恶意流量无法传入国际出口宽带。假如DDOS攻击全部来自于大陆肉鸡，那么中间几个环节都是瓶颈。最关键的就是国际出口宽带，如果访问某个IP的宽带总量超过了国际出口宽带一定比例，那就会被大陆运营商屏蔽IP（空路由）或把访问流量绕路到其他出口国家（比如原本走美国改道走欧洲）。

Cloudflare说的接入163（电信直连）线路共享150G，也就是说大陆内攻击超过150G的话电信直连线路肯定抗不住，应该会改用第三方线路（Telia一类）或者绕欧洲。免费用户攻击超过10G我觉得就会切到第三方垃圾线路了，付费用户阙值可能20G左右，然后超过绕路的话可能走稍微优质些的线路（比如PCCW？）。还有一点要考虑到CF在国内的合作商百度，可能有些国内流量路由就走了百度的服务器进行过滤。当然关于CF线路这些都是我个人猜想，只有一点可以确定就是CF的20刀付费版抗揍能力确实比免费版好一些，没遇到攻击的情况下线路都一样，速度也一样。

Cera和VOX都是BGP路由，就是接入N个运营商，自动调度走哪条线路。像Cera中美所有线路接入有1T以上，每台机器专属宽带，价格也是上天。VOX接入总量应该也不小（因为和很多运营商都有合作，可能中美宽带总和比CF还大点），虽然能和Cera一样抗大流量，但线路质量是比较差的。加上前面说的那堆问题，总而言之就是被打后网站速度慢，还经常访问中断。

7.总结

后端推荐用OVH，毕竟从保护数据放面考虑，OVH口碑还是不错的。前端建议套CF或DDOS-GUARD，能抗住一些20G以下的普通攻击，如果攻击再大影响到网站正常使用时，就买个付费套餐扛一个月。如果攻击量巨大又不想购买太贵的CDN套餐的时候，可以考虑用VOXILITY严格模式的机器，可以扛很大量同时保证国内能勉强访问。但这种情况你必须用硬件足够好的服务器，用http连接，而且几乎是只读模式，没法上传大点的数据。如果需要高质量又快又稳的访问，那得舍得花大价钱，上Cera企业套餐吧。

一般个人博客一类的小网站被攻击，都是小学生炫技类型，毕竟拿个freeboot一分钱不花就能打，这种随便套个CF或者买个低防御机器能扛5G+就行。套图站那种因为有竞争对手，被打一般都是竞争对手付费boot，超不过50G而且肉鸡来源不全是国内，拿CF免费套餐也足够抗住。上百G的攻击那一般都是对某站有深仇大恨类型了，买的boot攻击套餐成本也不便宜，这种还是建议拿CF付费跟他对抗，一般一俩月打不死对方就没精力了。

如果200G+而且大量来自国内的攻击，那种基本是被党中央盯上了，赶紧收拾收拾跑路吧。