昨晚凌晨三点又被报警叫醒,东京某游戏服被打进黑洞。很多买日本高防服务器的客户,上来就问能扛多少G。
说实话,厂商标称的Tbps那是整个机房的总带宽。落到你单个IP上,清洗中心阈值卡得死死的。
别信标称防御看单IP清洗阈值
BGP Anycast牵引流量需要时间,RTT延迟一旦超过50ms,TCP握手直接超时。这时候你防御再高,应用层也雪崩了。
别光盯着峰值,得看机房怎么配TCP SYN Cookie。我抓包看了下,有些廉价线路直接把SYN包丢弃,导致正常玩家也连不上。
tcpdump -i eth0 -n 'tcp[tcpflags] & (tcp-syn) != 0' and port 80- 用这命令盯一下,如果SYN_RECV状态堆积超过两千,赶紧调内核参数。
- 别等流量打满了才去翻监控日志,这带宽,根本洗不干净。
三家东京机房清洗参数对比
| 机房线路 | 标称防御 | 单IP真实清洗阈值 | BGP路由跳数 | CC并发拦截率 |
|---|---|---|---|---|
| 东京软银直连 | 500Gbps | 80Gbps | 4跳 | 85% |
| 大阪NTT混合 | 1Tbps | 150Gbps | 6跳 | 70% |
| 东京CN2 GIA | 300Gbps | 200Gbps | 3跳 | 95% |
纯静态API接口千万别买高防
如果你跑的是纯静态图片或者API网关,千万别买这种按流量计费的高防。
CC攻击一上来,清洗中心直接把IP拉黑。你花大价钱买的防御,全用来洗静态请求了,纯属扔钱。
直接上CDN或者WAF,把动态请求和静态资源物理隔离,这才是正经打法。
关于作者
熬夜盯盘SRE,常年混迹东京机房排障一线,专治各种网络拓扑不服。
查一下你当前业务TCP握手超时设置,核对机房单IP清洗阈值。别等流量打满了才去翻监控日志,现在就登录控制台调整内核参数。