半夜3点告警群炸锅,业务直接被DDoS打进黑洞。很多SRE只看Gbps,却忽略了PPS(每秒包数)。流量牵引过去后,清洗中心把正常TCP握手也当成攻击给Drop了,业务照样断流。
别信那些吹出来的参数。先说结论:扛得住大带宽,不一定扛得住高并发小包。这份记录直接拆解美国高防服务器清洗能力的底层底牌,帮你避开只看带宽的坑。
清洗引擎的并发会话陷阱
很多机房标称500G防护,但清洗引擎的会话并发上限极低。这玩意儿根本扛不住海量半连接状态。
- 遇到SYN Flood,Scrubbing Center(清洗中心)如果Session表满了,直接丢弃所有新建请求。
- 结果就是攻击流量没洗干净,正常用户的接口调用也全被错拦。
- 必须核对机房是否支持动态调整Session阈值,而不是写死的死板规则。
传统带宽型与PPS精细清洗对比
| 防护指标 | 传统带宽型高防 | PPS/会话级精细清洗 |
|---|---|---|
| 核心防御逻辑 | 只看Gbps,暴力封堵 | 指纹识别+SYN Cookie验证 |
| SYN Flood表现 | 正常TCP握手被错拦 | 半连接不入库,正常放行 |
| 延迟波动 | 牵引后增加30ms+ | BGP Anycast就近清洗,波动极小 |
| 适用业务 | 大文件下载/视频流 | 核心交易链路/游戏登录服 |
纯静态小站别碰高防
业务没跑动态数据库,纯静态页面买这种高配机器纯属浪费钱。
- 遇到CC攻击,直接上CDN加WAF规则就行,没必要花大价钱买BGP牵引。
- 说实话,高防只适合跑核心交易链路或登录服,好钢用在刀刃上。
- 别被销售忽悠,按需买防护阈值才是正经事。
抓包排查与BGP牵引验证
别光看控制台面板,直接上机器抓包看TCP三次握手。如果SYN发了没收到ACK,大概率是清洗引擎把正常连接给Drop了。
tcpdump -i eth0 -n -s 0 port 80 and 'tcp[tcpflags] & (tcp_syn|tcp_ack) != 0'业务频繁被打断流,立刻核对机房的PPS吞吐上限与清洗引擎并发数,别等黑洞了才干着急。