DDoS 완화.
볼륨 공격이 여러분의 VPS에 도달하지 못하게 하는 엣지 방어. 항상 켜져 있음. 포함됨. 결코 추가 판매 아님.
분산 서비스 거부 공격이 대상 서버의 대역폭이나 컴퓨트를 포화시키는 것을 방지하는 기술적 조치 세트 — 엣지 속도 제한, 스크러빙 센터, 애니캐스트 전환, 행동 트래픽 분류. NordBastion에서 완화는 4개 베이스천 모두의 엣지에서 항상 켜져 있고, 모든 등급에 포함되며, 옵트인이나 옵트아웃이 없습니다.
완화는 기준선이지, 프리미엄 등급이 아닙니다.
청구 가능한 DDoS 보호의 구조적 문제는 공격자가 고객의 가격을 설정하게 한다는 것입니다. 흡수된 플러드의 Gbps가 돈을 들이게 한다면, 귀하의 IP에 수백 Gbps를 던질 수 있는 공격자는 — 어떤 것도 침해하지 않고 — 경제만으로 귀하를 플랫폼에서 강제로 내보낼 수 있습니다. NordBastion은 이를 플랫폼 수준 비용으로 취급하고 카탈로그 전체에 분할 상환합니다: 모든 VPS와 모든 전용 등급은 동일한 항상 켜져 있는 볼륨 및 L7 완화와 함께 제공되며, 흡수된 공격 트래픽은 결코 청구되지 않습니다.
기계적으로, 4개 베이스천 각각은 캐리어 핸드오프 근처의 항상 켜져 있는 스크러빙과 함께 1.6~2.4 Tbps의 집계 인그레스로 피어링합니다. 볼륨 플러드 (UDP 증폭, SYN 플러드, 단편화된 IP)는 엣지 라우터에서 드롭됩니다; 레이어 7 폭풍 (slow-POST, 회전 사용자 에이전트가 있는 HTTP GET 플러드)은 귀하의 등급에 도달하기 전에 행동 분류됩니다. 제어 평면은 4개 사이트에 걸쳐 애니캐스트이므로, 한 베이스천을 위협할 만큼 큰 공격은 자동으로 다른 것들에 걸쳐 전환됩니다.
완화가 하지 않는 것: 귀하의 애플리케이션 페이로드를 검사하지 않고, TLS를 종료하지 않으며, 귀하의 서비스에 누가 로그인했는지 보지 않습니다. 실제로 도달한 요청에 귀하의 애플리케이션이 집중할 수 있게 하는 네트워크 계층 기준선입니다. 워크로드가 애플리케이션 계층 필터링 (SQL 주입 가드, 남용 봇 점수 매기기)이 필요하다면, 그 위에 WAF를 실행하십시오 — 그러나 둘을 혼동하지 마십시오.
NordBastion 전체에서 완화 추적.
- · /network/ — 베이스천별 피어링 맵, 스크러빙 토폴로지 및 애니캐스트 평면 다이어그램.
- · /vps/ — 모든 VPS 등급 (Sentinel에서 Bastille까지)은 기본적으로 항상 켜져 있는 완화와 함께 제공됩니다.
- · /dedicated/ — 베어메탈 등급은 더 높은 업링크 속도에서 동일한 엣지 보호를 상속받습니다.
- · /status/ — 실시간 베이스천별 업링크 포화 및 완화된 사건의 공개 이력.
- · /peering/ — 각 사이트에서 볼륨 천장을 결정하는 IX 존재와 트랜짓 믹스.
- · / — 홈페이지는 기능 스트립에서 항상 켜져 있는 완화 보장을 표면화합니다.
완화에 대한 질문, 답변해 드립니다.
엣지는 어떤 공격 크기를 처리합니까?
각 베이스천은 항상 켜져 있는 볼륨 스크러빙과 함께 1.6~2.4 Tbps의 집계 인그레스 용량으로 피어링하며, 이는 실제 공격의 압도적 대다수를 흡수합니다 — 공개 2025년 4분기 텔레메트리는 인터넷 DDoS 이벤트의 99.4%가 100 Gbps 미만이었음을 보여주었습니다. 레이어 7 플러드 (HTTP GET/POST 폭풍)는 행동 분류되어 귀하의 VPS에 도달하기 전에 차단됩니다. 베이스천당 하드 천장은 피어링 총량입니다; 진정한 국가 규모 공격 (수 Tbps)은 4-베이스천 애니캐스트 평면을 가로질러 전환됩니다.
DDoS 보호에 추가 요금이 있습니까?
없습니다 — 그리고 이것은 의도적입니다. 다른 호스트들은 DDoS 보호를 Gbps당 추가 옵션이나 별도의 엔터프라이즈 등급으로 가격을 책정하며, 이는 실질적으로 작은 표적이 공격을 받는 것에 대해 청구된다는 것을 의미합니다. NordBastion은 모든 Sentinel (월 $5.90)에서 Bastille (월 $23.90) VPS 등급까지, 그리고 모든 전용 등급에 항상 켜져 있는 완화를 포함하며, 흡수된 공격 트래픽에 대한 사용량 기반 청구가 없습니다. 경제는 완화 비용이 사건별로 청구되지 않고 플랫폼 전체에 분할 상환되기 때문에 작동합니다.
Cloudflare 스타일 WAF와 어떻게 다릅니까?
WAF (Web Application Firewall)는 OSI 레이어 7에서 작동합니다 — 애플리케이션 계층 공격 시그니처 (SQL 주입, XSS, 남용 봇 패턴)에 대해 HTTP 요청을 검사하며, 자체적으로 TLS를 종료하는 역방향 프록시입니다. NordBastion의 DDoS 완화는 레이어 3-4에서 작동합니다 — 잘못된 형식의 패킷, 증폭 반사 및 볼륨 플러드를 귀하의 대역폭을 소비하기 전에 네트워크 엣지에서 떨궈내며, TLS를 종료하거나 귀하의 애플리케이션 페이로드를 보지 않습니다. 둘은 보완적입니다; 앱에 필요하시다면 그 위에 WAF를 실행하십시오.
제 워크로드 자체가 급증을 일으키는 경우는 어떻습니까?
합법적인 바이럴 트래픽 이벤트 — 출시, 언론 보도, Hacker News 프런트 페이지 — 는 공격 형태가 아닌 속도 제한 형태이며, 행동 분류기가 그것을 통과시킬 것입니다. 합법적인 트래픽으로 등급의 업링크를 포화시키시면, 업그레이드 경로는 더 큰 VPS나 더 두꺼운 업링크를 가진 전용 등급으로 패널 한 번 클릭입니다; 지원 티켓이 필요하지 않습니다. 아웃바운드 남용 (귀하의 서버가 공격 트래픽의 출처가 되는 것, 예: SSH 무차별 대입자나 개방형 메일 릴레이)은 별도로 처리됩니다 — 저희가 호스팅할 것과 호스팅하지 않을 것에 대해 /doctrine/을 참조하십시오.