1.
带宽口线与接入架构:确保“入网通路”能承载真实业务流量
1)检查物理口线类型:是否为10GbE/25GbE/40GbE或多个聚合口,尽量要求独享端口而非共享浮动口。
2)确认带宽上行与下行带宽分配,如“独享10Gbps上行+独享10Gbps下行”或“共享1Gbps口”,并索取端口镜像证明确认。
3)测验延迟与丢包基线:在非攻击时段Ping/Traceroute多点监测,理想香港节点对国内首跳RTT < 30ms,丢包率 < 0.1%。
4)查看实际峰值吞吐表现:要求供应商提供近30天带宽峰值图和端口利用率,避免签订“理论带宽”但口线拥塞的合同。
5)示例:推荐配置:双路25GbE物理端口,后端汇聚为40GbE骨干,并配合CDN Anycast做边缘分流。
2.
抗DDoS总防护容量与PPS能力:区分Gbps与PPS的重要性
1)确认防护容量(Gbps)与PPS(每秒包数)两个指标同时满足需求,300G常指300Gbps峰值清洗能力。
2)PPS能力举例:针对SYN/UDP小包攻击,要求PPS清洗能力≥50Mpps(百万包/秒),否则在高PPS攻击下仍会导致设备CPU或队列溢出。
3)查看清洗后能恢复的“干道带宽”数值,例如:300Gbps清洗能力对应可恢复给客户的干净带宽通常为独享10Gbps或更高。
4)要求供应商给出针对不同攻击类型的真实演练报告(SYN flood、UDP flood、HTTP泛洪),并标注攻击峰值与清洗时间。
5)示例数据表(居中显示)如下:
| 项目 | 示例值 |
|---|
| 抗DDoS峰值 | 300 Gbps |
| PPS清洗能力 | ≥50 Mpps |
| 最小恢复干净带宽 | 10 Gbps 独享 |
| 检测响应时长 | ≤60 秒自动识别 |
3.
清洗中心与SLA:位置、链路冗余与响应时间
1)确认清洗中心(Scrubbing Center)物理位置是否覆盖香港节点或在东亚近距离,并与主链路的BGP/路由保持低延迟。
2)查看SLA条款:包括自动检测时间、人工处置时长与故障赔偿,例如“自动清洗≤60s、人工介入≤5分钟、月度可用率≥99.95%”。
3)链路冗余要求:至少两条到不同骨干/运营商的上游链路(如直连中国联通、中国电信与国际IX),避免单点运营商故障。
4)真实案例:某香港电商在促销期遭遇峰值200Gbps UDP攻击,供应商在45秒内自动启用清洗,PPS峰值350kpps被削减至10kpps,网站无宕机并在10分钟内恢复正常流量。
5)建议合同中明确“静态白名单/黑名单调整响应时长”与“可视化流量监控接口”的权限与频次。
4.
BGP路由、Anycast与CDN协同:确保流量分发与回源稳定
1)确认是否支持BGP Anycast:Anycast能把攻击流量分散到多个清洗点,降低单点压力并提升可用性。
2)询问BGP公告策略:是否支持客户AS直连或IP段公告、社区号策略(NO_EXPORT等)以及回源的路由偏好。
3)CDN+高防联动:对静态内容使用CDN缓存,对动态业务结合高防回源策略,减少回源流量暴露。
4)举例配置:Anycast节点覆盖香港、香港旁路与新加坡三个节点,客户通过BGP/路由策略在攻击时自动将流量切分到离用户最近的清洗节点。
5)校验回源链路安全:TLS证书、源站白名单、源站接口限流(rate-limit)与WAF规则应在清洗后继续生效,避免放行恶意请求。
5.
系统内核与服务端调优:保证在攻击波动下业务仍可承载
1)核心内核参数:查看net.core.somaxconn、net.ipv4.tcp_max_syn_backlog、tcp_tw_reuse等是否已按高并发场景优化。
2)连接追踪与资源:对于Linux要调整nf_conntrack_max与相关超时,防止短时间内连接表溢出。
3)前端设备能力:是否采用支持XDP/DPDK加速的网卡与负载均衡(如Nginx+TCP proxy、HAProxy或LVS),并配合硬件RSS多队列分摊中断。
4)WAF与速率限制:应用层使用WAF、HTTP速率限制、验证码、会话识别等手段对抗L7泛洪;同时对API接口做QPS上限控制。
5)真实配置示例:一台业务服务器配置:Intel Xeon 12核24线程、内存64GB、1×10GbE直连、SSD NVMe 1TB、内核调优项:net.ipv4.tcp_max_syn_backlog=4096、net.core.netdev_max_backlog=50000、nf_conntrack_max=262144。
来源:香港高防300g服务器 企业签约前必须确认的五项技术指标
