首页 >> 攻击入侵解答
为什么大带宽的DDOS防御服务器价格很贵?
发布时间:2012-6-2 11:37:23 被阅览数:20745次 来源:为什么大带宽的DDOS防御服务器价格很贵?
很多朋友在寻找服务器托管机房时,除了对机房的速度有要求,其次就是机房的稳定、安全和可靠了。
说到这里,马上就可以引出我们的话题--关于IDC机房的防火墙。其实之前我们也跟大家从技术、产品方面讨论过不少类似的问题,而今天,我们主要从逻辑上为大家进行分析,读完本文之后,相信大家就会清楚两个非常重要的问题:
1、为什么你的服务器被DDOS时没有机房肯接纳?
2、机房的DDOS防御能力究竟是否可以给你安全保障?
先来说第一个问题吧。
假设你现在有一个服务器被黑客盯上了,每天都有1G的攻击流量,你原来放在一个没有防火墙的机房,那自然是很快被网络管理员拔线,然后通知你的服务商说机房不能接收这台服务器,没办法,你就只能找一个可以防御1G流量攻击的机房。
于是,你在网上找百度,看到一个运用商的介绍说可以有效抵御6G的流量攻击,于是你会想,他们连6G的攻击都顶得住,那1G的攻击肯定是小意思,好,就放到那个机房。
于是你去联系这个运营商,把你的服务器放进了这个可以抵御6G攻击的机房,可是紧接着你的服务器一上线就立刻遭到DDOS攻击,流量还是1G,机房又把你的服务器拔线了,你很奇怪,为什么6G防御的机房才1G的攻击就拔线?
运营商说:“小伙子,你的服务器这段时间被人盯上了,由于你的IP受到1G大流量攻击,影响了机房其他服务器的正常访问,所以我们要把你的网络停掉。”
然后你会问:“你们不是说可以防御6G的攻击吗?为什么才1G攻击就要断我的网络?”
运营商说:“小伙子,你想想,我们这个机房1G的带宽一年得卖好几十万,现在你一个月才几百块的托管费就要我一直给你消耗1G的带宽去顶住外面的攻击;要知道机房带宽现在的使用率是非常高的,1G的攻击已经严重影响机房其他服务器的访问,其他用户网络变慢或者服务器无法访问,他们也一直会找我们投诉啊,就算别人不投诉,你说我这一直给你防着1G的攻击我得每天消耗多少带宽费用啊。”
所以,即使机房号称6G的防御能力,你说就为了一个月租几百块的客户,机房会傻到每天牺牲那么大一部分带宽去帮他顶住攻击吗?从成本上就明显划不来,而且还是亏得厉害,那机房有啥好处呢?没好处人家当然不干。一些受到攻击的用户老是抱怨找不到机房就是这么个问题,并不一定是机房顶不住攻击,而是没利润,不想做这单生意,正如一位IDC行内名人说言“我为了600块接你的机器,我就是神经。”
另外就是一个非常敏感的话题:机房的DDOS防御能力是不是徒有虚名?
首先要搞清楚一个概念:我们前面说的防6G是整个机房可以防6G,不是单个IP可以防6G,单个服务器能够承受多少G的防御那是概念错误,一般 1U托管也就在服务器上面插100M共享的网线,还给你限制最大4Mb/s的流量,也就是超过500KB的访问量你的服务器就已经访问不到了,所以谈单个 IP的防御那是比较滑稽的,别人用DDOS攻击一个IP,其实消耗的都是机房外部的带宽,这就是为什么一个IP受到攻击,整个机房或者大半个机房都会受到影响。至于机房的DDOS防御能力,这要从两个方面去说:
首先,我们在以前的文章中已经从技术上分析过,机房的DDOS防火墙并不是挡住大流量的攻击就万事大吉了,DDOS防火墙只是消耗1G的外部带宽去抵御1G流量的攻击,保障机房内部网络设备和服务器的安全,也就是说如果机房所有的外部带宽只有1G,那么你放出1G的攻击流量,那么这个机房里面的服务器就没法被外界所访问了,因为总出口已经堵死了,这种情况下,DDOS防火墙的防御能力再强都无济于事。
因此,要是一个机房总的带宽就不大,那么它号称可以防御多大的带宽、有多少DDOS防火墙那都死睁着眼睛说瞎话。
那么,要是一个机房有好几G甚至十几G的带宽,那么它的防御效果会不会比较好呢?
那就要看它的网络结构和防火墙设备了。
从机房网络架构来看,防火墙其实是很被动的东西,而且机房拓扑结构不好的话,分的链路很乱的话,防御效果根本就不行;另外,大家注意一下 DDOS防火墙设备,都是千兆级的多,为什么?因为DDOS防火墙大多就是一台小型服务器+Linux系统+DDOS软件,所以它只能用服务器上的千兆网卡,万兆网络那是骨干网络设备才有的规格,民用万兆网络现在都还处于科研阶段,所以千兆的防火墙要组成联防系统也就是集群,才能实现1G以上的防御效果。
因此,在总带宽充足的情况下,防火墙集群的规模和网络结构的设计直接影响到防御效果。
最后,顺便告诉大家,目前从美国服务器的情况来看,能够实现2G以上实际防御能力的机房并不多,1G左右的防御机房还是不少的,而且并没有特殊的费用。
业务联系QQ:173723134