在外国vps中,有御三家大家都知道。最近发现这御三家竟然还可以用来抗D。
azure-az100:无清洗,不黑洞,就算黑洞也会秒解,百G实测打不死,除非24h压着打,只是速度慢点而已,一停马上好。
注意事项:只记出项流量。不计入项。使用nginx_limit模块+iptables/fail2ban等等的模块限制出项流量。入项流量再大也不要钱【记得关闭udp服务,tcp可只留80,443。防止udp到达7层造成处理负担】
如果使用az100,完全免费,如果出流量被刷完还可以抛。
azure可开hk,sg,jp地区的【hk最近很多段都绕路了,可以刷其他地区的】,速度快。还抗D(并不是清洗来防,只是事实上的不黑洞秒解,打不死而已)。
gcp-gcp300:无清洗,不黑洞,就算黑洞还是会秒解,同样百G流量,除非24h压着打,否则打不死,只是速度慢点而已,一停马上好。使用防护规则和azure一样。用卡反复撸就行
aws ec2 :清洗,不黑洞。只有ec2 才行,ec2单向计费。防护规则与上一样。【理论上也行,但是这个我没没试,因为我没有。不像上面的azure与gcp试了可行。】
最后发现一个规律:这些厂商只记出流量,入流量免费的,加上不黑洞的。所以基本可以无限抗。这个奇葩方法还是在其他大佬那里看到的解决方案。
虽然控制台的安全组把洪水堵在外面,但是它不黑洞,所以理论上是无限抗的。除非厂商他们的网关被打崩。
另外,开tw,hk【gcp hk也和az一样有点绕路,开tw可以】,新加坡等地区。兼顾速度与防御,直连也很快,并且别人还打不死。az100与gcp确实是0成本的。
一般是用来做cdn反代源站的,这样抛起来也方便。另外,这种方法不抗CC,只抗DDOS。cc需要自己配置waf与防火墙。
如果你说这种方案流量少,被剑皇了怎么办,放心,安装nginx_limit模块+iptables/fail2ban模块,限制IP的请求频率与流量流出速度。超过的直接iptables内核层面 ban ip,这样一点被剑皇的恶意流量都不会流出去。
对了,记得关IPv6。如果只是IPv4的话,很好控制被剑皇。v4地址少,直接限制 ip 频率与请求流量就行