凌晨三点被报警叫醒,一看监控,美国机房的流量图直接拉平。买美国BGP线路高防服务器,最怕的不是DDoS把带宽打满,而是清洗中心把你的正常BGP流量当攻击洗了。
说白了,很多机房的清洗节点跟回国链路根本不挨着。流量绕地球一圈再回来,latency 直接飙到 300ms 以上。要命的是,你得懂点 BGP Community 属性,才能强迫清洗节点走正确的出口。
清洗节点与BGP选路冲突
别信销售吹的 Anycast 全球秒级清洗。Anycast 确实能就近吸收攻击,但回源的时候,如果清洗中心没配置好路由策略,你的数据包就会在北美骨干网里迷路。
我们之前遇到过,清洗完后,回国流量被扔到了欧洲节点。查了一圈,发现是上游运营商的 RTBH (Remotely Triggered Black Hole) 策略没清理干净,导致正常回源路由被黑洞了。
遇到这种事,别干等机房工单。自己上机器抓包看 TTL 和路由跳数。
vtysh -c "show ip bgp neighbors 198.51.100.1 advertised-routes" | grep -i "community"这行命令能直接看你的路由器向上游宣告了哪些 BGP 团体属性。如果没带特定的回国优选 community,流量肯定乱飘。
三种高防方案吞吐延迟对比
做个表格,别被忽悠了。
| 方案类型 | 清洗延迟 | 回国路由稳定性 | 误杀率 | 每月预算 |
|---|---|---|---|---|
| 单线硬抗 | 极低 | 看运营商脸色 | 高 | 便宜 |
| 美国BGP本地清洗 | 中等 | 极高(可控) | 极低 | 中等 |
| 海外Anycast高防 | 低 | 极差(易绕路) | 中等 | 贵 |
高防回源路由排雷实录
- 别迷信自动切换,很多防火墙的自动切换逻辑写得稀烂,攻击一停,路由切不回来,直接断网。
- 盯紧TCP握手,误杀往往发生在三次握手阶段,清洗设备把正常的 SYN 包当 SYN Flood 扔了。
- 留好后门IP,一定要让机房给你留一个不走清洗的带外管理IP,不然被误杀时你连机器都登不上。
- 什么场景千万别买,纯静态小站、低并发API,别碰这玩意。直接套个带 WAF 的 CDN 就行,买高防纯属浪费钱。
线上流量还在掉?别猜了,立刻登入交换机查 BGP 邻居状态和路由表,确认清洗节点的回源策略是否生效。