V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
0myun
V2EX  ›  信息安全

公司要部署硬防设备,设备可以清洗百 G 流量,那我们是不是也需要向电信运营商购买百 G 的带宽?

  •  
  •   0myun · 2019-01-05 13:50:57 +08:00 · 4665 次点击
    这是一个创建于 2148 天前的主题,其中的信息可能已经有所发展或是发生改变。
    31 条回复    2019-01-06 11:08:14 +08:00
    aveline
        1
    aveline  
       2019-01-05 14:10:50 +08:00
    是的
    natforum
        2
    natforum  
       2019-01-05 14:14:53 +08:00
    在电信买不到这么多吧,应该向 IDC 买
    0myun
        3
    0myun  
    OP
       2019-01-05 14:16:25 +08:00
    @aveline #1
    @natforum #2
    那这样的话还要硬防有何用?直接通过带宽不就可以吃下来了吗
    yghack
        4
    yghack  
       2019-01-05 14:21:37 +08:00
    @0myun 带宽不够如何清洗?阻塞都阻塞死了
    0myun
        5
    0myun  
    OP
       2019-01-05 14:24:23 +08:00
    @yghack #4 带宽都够了为何清理。。。。直接流入啊
    CodeWind
        6
    CodeWind  
       2019-01-05 14:27:56 +08:00 via Android
    清洗不就为了放堵塞吗?都有百 G 带宽了,买设备干嘛
    qgnet
        7
    qgnet  
       2019-01-05 14:28:15 +08:00
    @0myun 1、需要有高防设备
    2、需要有足够的出口带宽(下行)
    0myun
        8
    0myun  
    OP
       2019-01-05 14:31:44 +08:00
    @CodeWind #6 但是如果连流都流不进来 那还怎么获取进入的数据来清洗
    0myun
        9
    0myun  
    OP
       2019-01-05 14:32:24 +08:00
    @qgnet #7 但是不是一般都是上下对等的么。哪里来那么大的出口带宽
    KenGe
        10
    KenGe  
       2019-01-05 14:34:35 +08:00
    需要自身有 100G 带宽 或者直接找第三方采购清洗服务啊
    譬如联系我
    0myun
        11
    0myun  
    OP
       2019-01-05 14:37:44 +08:00
    @KenGe #10 问题是如果有百 G 攻击 但是只有 1G 带宽,设备是如何处理到百 G 流量的???不应该只能处理到 1G 么
    CodeWind
        12
    CodeWind  
       2019-01-05 14:37:56 +08:00 via Android
    @0myun 专业 DDOS 设备肯定能够应对海量流量,过滤非正常流量,流量清洗并非丢弃有用的,如果有用的都丢弃了,那就说明设备处理能力弱了,该换了,我之前在网神的时候,用户出口只有 200m,购买的抗 ddos 设备,是有一定效果的
    Keyes
        13
    Keyes  
       2019-01-05 14:40:03 +08:00 via iPhone
    自建硬防百 G 我只能说真有钱,一般我们现在都推荐客户直接上云堤了,拿个折扣给他们,流量来了包打不死
    0ZXYDDu796nVCFxq
        14
    0ZXYDDu796nVCFxq  
       2019-01-05 14:41:21 +08:00 via Android
    @0myun 100G 直通服务器?
    你确保你服务器吃得下 100G ? 64 字节小包接近 2000 万哦
    tomczhen
        15
    tomczhen  
       2019-01-05 14:51:55 +08:00
    不懂 ddos 硬防,带宽不足应该无法达到厂家标称性能指标。

    tcp 协议的话,就算带宽不足也有意义,毕竟直接丢弃非法包不处理的话,也是可以减少带宽压力的。
    0myun
        16
    0myun  
    OP
       2019-01-05 14:52:05 +08:00
    @CodeWind #12 那你当时入口带宽是多少呢 也是 200m 么
    CodeWind
        17
    CodeWind  
       2019-01-05 15:05:26 +08:00 via Android
    @0myun 200m,峰值攻击流量 10g 左右,持续了三天
    gy911201
        18
    gy911201  
       2019-01-05 15:05:32 +08:00
    @0myun 直接流入你的业务系统撑得住吗?撑得住百 G 的流量那当然不用清洗啦!
    0myun
        19
    0myun  
    OP
       2019-01-05 15:06:13 +08:00
    @gy911201 #18 我司的业务结构是一个很大的均衡负载体系。。
    gy911201
        20
    gy911201  
       2019-01-05 15:12:55 +08:00
    @0myun 总之硬件防火墙是用来保护后方的业务系统不被异常流量冲垮的,不是用来保护带宽的……
    0myun
        21
    0myun  
    OP
       2019-01-05 15:15:01 +08:00
    @gy911201 #20 也就是说是保护机器的算力而不是保护带宽?
    qgnet
        22
    qgnet  
       2019-01-05 15:33:28 +08:00
    @0myun 找运营商采购。
    des
        23
    des  
       2019-01-05 15:48:43 +08:00 via Android
    @0myun
    我觉得你是没懂 ddos 是啥意思,ddos 全称叫分布式拒绝服务攻击。目的是让你的服务器没法对外服务。

    如果你的宽带都不够的话,ddos 来了,你的服务器怎么提供服务?
    然后硬防是为了保护服务器,不让服务器直接死掉
    0myun
        24
    0myun  
    OP
       2019-01-05 16:41:37 +08:00
    @des #23 不是有一种是堵塞上行网络的么
    dicc
        25
    dicc  
       2019-01-05 16:56:21 +08:00
    ![]( )

    除非你把你的高防弄在运营商前面
    594duck
        26
    594duck  
       2019-01-05 17:22:45 +08:00 via iPhone
    你就不应该买这个,买知道创宇的服务就好了
    594duck
        27
    594duck  
       2019-01-05 17:52:23 +08:00 via iPhone
    1.现在打你 1G 流量只有 2000 元,所以你不可能扛得住。
    2.你自己扛不住就应该买知道创宇这种流量清洗服务
    3.设备是不是不用买了?不还需要,应为审计需要
    594duck
        28
    594duck  
       2019-01-05 17:53:00 +08:00 via iPhone
    4. 原来 V2EX 上一堆什么都不懂的程序员也敢出来对网络和网络安全指手划脚了
    wdlth
        29
    wdlth  
       2019-01-05 17:59:21 +08:00
    不是运营商或 IDC 买这么好的设备没什么用吧,我见电信机房里面就有一些抗 D 设备,应该是可以租用的吧。
    KenGe
        30
    KenGe  
       2019-01-05 23:14:15 +08:00
    @0myun #11 隧道方式清洗
    msg7086
        31
    msg7086  
       2019-01-06 11:08:14 +08:00
    流量清洗的意思是,清洗之前大带宽,清洗之后只保留有效数据,少量带宽和请求,然后让这少量的请求打到你的服务器上。

    所以首先就是你说的,需要大带宽放在高防之前。
    (所以说你们为什么要自建 DDoS 环境?人家高防都是放在机房的入口做的,本来就是几百 G 甚至上 Tbps 的带宽。)
    等高防把比如说 100Gbps 的带宽洗干净了,流出比如说 100Mbps 带宽的请求,再让这 100Mbps 的请求打到你的服务器上就行了。
    高防保护的是你的服务器,不是带宽。带宽只能用黑洞来保护。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2508 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 01:31 · PVG 09:31 · LAX 17:31 · JFK 20:31
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.