总体上说,这是一篇比较客观的文章,转贴在博客上也希望大家对于DDOS有一个更明确的概念。

很多朋友在寻×××器托管机房时,除了对机房的速度有要求,其次就是机房的稳定、安全和可靠了。

  说到这里,马上就可以引出我们的话题--关于IDC机房的防火墙。其实之前我们也跟大家从技术、产品方面讨论过不少类似的问题,而今天,我们主要从逻辑上为大家进行分析,读完本文之后,相信大家就会清楚两个非常重要的问题:

  1、为什么你的服务器被DDOS时没有机房肯接纳?

  2、机房的DDOS防御能力究竟是否可以给你安全保障?

  先来说第一个问题吧。

  假设你现在有一个服务器被***盯上了,每天都有的***流量,你原来放在一个没有防火墙的机房,那自然是很快被网络管理员拔线,然后通知你的服务商说机房不能接收这台服务器,没办法,你就只能找一个可以防御流量***的机房。

  于是,你在网上找百度,看到一个运用商的介绍说可以有效抵御的流量***,于是你会想,他们连的***都顶得住,那的***肯定是小意思,好,就放到那个机房。

  于是你去联系这个运营商,把你的服务器放进了这个可以抵御***的机房,可是紧接着你的服务器一上线就立刻遭到DDOS***,流量还是,机房又把你的服务器拔线了,你很奇怪,为什么防御的机房才的***就拔线?

    运营商说:“小伙子,你的服务器这段时间被人盯上了,由于你的IP受到大流量***,影响了机房其他服务器的正常访问,所以我们要把你的网络停掉。”

    然后你会问:“你们不是说可以防御的***吗?为什么才***就要断我的网络?”

    运营商说:“小伙子,你想想,我们这个机房的带宽一年得卖好几十万,现在你一个月才几百块的托管费就要我一直给你消耗的带宽去顶住外面的***;要知道机房 带宽现在的使用率是非常高的,的***已经严重影响机房其他服务器的访问,其他用户网络变慢或者服务器无法访问,他们也一直会找我们投诉啊,就算别人不投 诉,你说我这一直给你防着的***我得每天消耗多少带宽费用啊。”

    所以,即使机房号称的防御能力,你说就为了一个月租几百块的客户,机房会傻到每天牺牲那么大一部分带宽去帮他顶住***吗?从成本上就明显划不来,而且还是 亏得厉害,那机房有啥好处呢?没好处人家当然不干。一些受到***的用户老是抱怨找不到机房就是这么个问题,并不一定是机房顶不住***,而是没利润,不想做 这单生意,正如IDC行内名人老孤说言“我为了600块接你的机器,我就是神经。”

  另外就是一个非常敏感的话题:机房的DDOS防御能力是不是徒有虚名?

   首先要搞清楚一个概念:我们前面说的防是整个机房可以防,不是单个IP可以防,单个服务器能够承受多少G的防御那是概念错误,一般 1U托管也就在服务器上面插共享的网线,还给你限制最大4Mb/s的流量,也就是超过500KB的访问量你的服务器就已经访问不到了,所以谈单个 IP的防御那是比较滑稽的,别人用DDOS***一个IP,其实消耗的都是机房外部的带宽,这就是为什么一个IP受到***,整个机房或者大半个机房都会受到 影响。至于机房的DDOS防御能力,这要从两个方面去说:

   首先,我们在以前的文章中已经从技术上分析过,机房的DDOS防火墙并不是挡住大流量的***就万事大吉了,DDOS防火墙只是消耗的外部带宽去抵御流量 的***,保障机房内部网络设备和服务器的安全,也就是说如果机房所有的外部带宽只有,那么你放出的***流量,那么这个机房里面的服务器就没法被外界所访问 了,因为总出口已经堵死了,这种情况下,DDOS防火墙的防御能力再强都无济于事。

  因此,要是一个机房总的带宽就不大,那么它号称可以防御多大的带宽、有多少DDOS防火墙那都死睁着眼睛说瞎话。

  那么,要是一个机房有好几G甚至十几G的带宽,那么它的防御效果会不会比较好呢?

  那就要看它的网络结构和防火墙设备了。

   从机房网络架构来看,防火墙其实是很被动的东西,而且机房拓扑结构不好的话,分的链路很乱的话,防御效果根本就不行;另外,大家注意一下 DDOS防火墙设备,都是千兆级的多,为什么?因为DDOS防火墙大多就是一台小型服务器+Linux系统+DDOS软件,所以它只能用服务器上的千兆网 卡,万兆网络那是骨干网络设备才有的规格,民用万兆网络现在都还处于科研阶段,所以千兆的防火墙要组成联防系统也就是集群,才能实现以上的防御效果。

  因此,在总带宽充足的情况下,防火墙集群的规模和网络结构的设计直接影响到防御效果。

  最后,顺便告诉大家,就目前国内的情况来看,能够实现以上实际防御能力的机房并不多,圈内公认的就那么几个(为免广告之嫌,这里不透露名称),所以你要是随便跟一个运用商谈对方都告诉你可以防御多少个G,那多半是胡扯。