Mitigazione DDoS.
Le difese al bordo che impediscono agli attacchi volumetrici di raggiungere il suo VPS. Sempre attive. Incluse. Mai un upsell.
L'insieme di misure tecniche — rate-limiting al bordo, centri di scrubbing, deviazione anycast, classificazione comportamentale del traffico — che impedisce a un attacco di distributed-denial-of-service di saturare la banda o il calcolo del server bersaglio. Su NordBastion, la mitigazione è sempre attiva al bordo di tutti e quattro i bastioni, inclusa in ogni fascia, senza opt-in o opt-out.
La mitigazione è un pavimento, non una fascia premium.
Il problema strutturale con la protezione DDoS fatturabile è che permette all'attaccante di stabilire il prezzo del cliente. Se un Gbps di flood assorbito le costa denaro, allora un attaccante che può lanciare qualche centinaio di Gbps sul suo IP può forzarla fuori dalla piattaforma per sola economia — senza mai violare nulla. NordBastion tratta questo come un costo a livello di piattaforma e lo ammortizza attraverso il catalogo: ogni VPS e ogni fascia dedicata viene fornito con la stessa mitigazione volumetrica e L7 sempre attiva, e il traffico di attacco assorbito non viene mai fatturato.
Meccanicamente, i quattro bastioni sono in peering ciascuno con 1,6-2,4 Tbps di ingresso aggregato con scrubbing sempre attivo vicino al carrier handoff. I flood volumetrici (amplificazione UDP, SYN flood, IP frammentato) sono fatti cadere al router di edge; le tempeste layer-7 (slow-POST, flood HTTP GET con user-agent rotanti) sono classificate comportamentalmente prima di raggiungere la sua fascia. Il piano di controllo è anycast attraverso i quattro siti, così un attacco abbastanza grande da minacciare un bastione viene automaticamente deviato attraverso gli altri.
Cosa la mitigazione non fa: non ispeziona i payload della sua applicazione, non termina TLS, non vede chi è loggato nel suo servizio. È un pavimento a livello di rete che permette alla sua applicazione di concentrarsi sulle richieste che le sono effettivamente arrivate. Se il suo carico di lavoro ha bisogno di filtraggio a livello applicativo (guardie contro SQL injection, scoring di bot abusivi), faccia girare un WAF sopra — ma non confonda i due.
Segua la mitigazione attraverso NordBastion.
- · /network/ — la mappa di peering per bastione, la topologia di scrubbing e il diagramma del piano anycast.
- · /vps/ — ogni fascia VPS (da Sentinel a Bastille) include mitigazione sempre attiva per default.
- · /dedicated/ — le fasce bare-metal ereditano la stessa protezione di edge a velocità di uplink maggiori.
- · /status/ — saturazione di uplink per bastione in tempo reale e storico pubblico degli incidenti mitigati.
- · /peering/ — la presenza in IX e il mix di transit che determina il tetto volumetrico in ciascun sito.
- · / — la homepage mette in evidenza la garanzia di mitigazione sempre attiva nella striscia delle funzionalità.
Domande sulla mitigazione, risposte.
Quali dimensioni di attacco gestisce l'edge?
Ciascun bastione è in peering con 1,6-2,4 Tbps di capacità di ingresso aggregata con scrubbing volumetrico sempre attivo, che assorbe la stragrande maggioranza degli attacchi reali — la telemetria pubblica del Q4 2025 ha mostrato che il 99,4% degli eventi DDoS su internet era sotto i 100 Gbps. I flood layer-7 (tempeste HTTP GET/POST) sono classificati comportamentalmente e fatti cadere prima di raggiungere il suo VPS. Il tetto rigido per bastione è il totale di peering; gli attacchi davvero di scala nazionale (multi-Tbps) vengono deviati attraverso il piano anycast a quattro bastioni.
C'è una commissione aggiuntiva per la protezione DDoS?
No — ed è deliberato. Altri host tariffano la protezione DDoS come un add-on per Gbps o una fascia enterprise separata, il che di fatto significa che un piccolo bersaglio viene addebitato per essere attaccato. NordBastion include la mitigazione sempre attiva in ogni fascia VPS da Sentinel ($5,90/mese) a Bastille ($23,90/mese) e in ogni fascia dedicata, senza fatturazione basata sull'uso sul traffico di attacco assorbito. L'economia funziona perché il costo di mitigazione è ammortizzato attraverso la piattaforma, non fatturato per incidente.
In cosa differisce da un WAF in stile Cloudflare?
Un WAF (Web Application Firewall) opera al layer 7 OSI — ispeziona le richieste HTTP per firme di attacco a livello applicativo (SQL injection, XSS, pattern bot abusivi) ed è esso stesso un reverse proxy che termina TLS. La mitigazione DDoS di NordBastion opera ai layer 3-4 — scarta pacchetti malformati, riflessioni di amplificazione e flood volumetrici al bordo della rete prima che consumino la sua banda, e non termina TLS né vede i payload della sua applicazione. I due sono complementari; faccia girare un WAF sopra se la sua app ne ha bisogno.
E se il mio carico di lavoro stesso sta causando il picco?
Un evento di traffico virale legittimo — un lancio, una citazione stampa, una prima pagina di Hacker News — ha la forma di un rate-limit, non di un attacco, e il classificatore comportamentale lo lascerà passare. Se satura l'uplink della sua fascia con traffico legittimo, il percorso di upgrade è un click dal pannello verso un VPS più grande o una fascia dedicata con uplink più grasso; nessun ticket di supporto richiesto. L'abuso in uscita (il suo server come fonte di traffico di attacco, ad es. un brute-forcer SSH o un open mail relay) è gestito separatamente — veda /doctrine/ per cosa ospiteremo e cosa no.