DDOS（ICMP floods）大家都是怎么防御的？

硬防？

拔网线……
PS：玩笑

硬防。。。。稍微大点的流量，NGINX都直接打死

用nginx编译优化，系统一些连接和文件数也要设置好，防火墙配好，放到cdn后面。

@zhttty 放到cdn后面 这个是关键

@xdeng
@ywencn
推荐下硬件，对这块不了解，谢谢！

我也一直在期待 @livid 能给这一系列应对措施来个总结

@edwinlai 这又得看了。被隔山打牛甚至直接被CDN拍死的也不是没有。还是得选有DDoS防护的CDN。

选择有硬防的服务商是关键。2009年，我被竞争对手DDoS，服务商欺骗我说对方攻击流量3G（后来证明只有几百兆的流量攻击，这家IDC根本没有硬防不具备任何防御手段），直接拔线，更奇葩的是拔线后机器被下架，硬盘被格，所有数据丢失。想起就生气。

这家IDC是腾佑，希望大家不要选这家。

cdn.v2ex.com ...似乎用的是 http://orca.io/

我用的是 Incapsula....

如果有备案，可以用 http://jiasule.baidu.com/ 也不错

上面三个免费的都足够个人使用了，如果是商务，套餐也足够便宜。

@xiaop

那些所谓有硬防的IDC很多都是骗人的，或者是纯粹的自己用linux搭建出来独立防火墙的忽悠玩意。

后来我选了湛江的群英，确实是没问题价格上也不贵多少。我只是想不通为什么这些人要用欺骗来做生意。

@zhttty 目前 V2EX 用的是 O2。而无论是 O2 还是 O1，目前都不具备防御各种大流量 Flood 的功能。这个东西靠 server 本身的任何软件都是不够的。

Anti-DDoS 是一门大产业，不容易做，很脏很累。

前两天 Akamai 把 Prolexic 收购了。

DDOS拼的是带宽，硬件和软件的性能。如果你是几M的带宽、几台服务器，人家一下子过来几十G的流量、几千万的并发，一个回合就over了。从这三个方面着手，只要保证服务不挂就算能防住。

硬防效果这个东西就是生产厂家宣传出来,现在ddos大部分都是拼带宽, 你在机房只要10M出口,你让机房给顶1G流量,机房为了其他客户利益肯定拔网线,1G带宽对机房就是巨大成本,如果放在aws,连续攻击一段时间,账单会猛增,同意@Livid Anti-DDoS 是一门大产业，不容易做，很脏很累, 对付大ddos,也只能分布式,找有Anti-DDoS 的cdn,当然有时候小cdn服务商有时也顶不住,继续找实力牛的cdn,

如果只有ICMP，很简单，针对协议滤掉或限速就好了，又不影响正常业务。