DDoS 缓解。
把体量型攻击挡在你 VPS 之外的边缘防御。始终开启。已包含。永远不是升级项。
一组技术措施——边缘限速、清洗中心、任播分流、行为流量分类——用于防止一次分布式拒绝服务攻击使目标服务器的带宽或算力饱和。在 NordBastion 上,缓解在所有四个据点的边缘都始终开启、每一档都包含,无需启用也无法关闭。
缓解是底线,而不是高级档位。
可计费 DDoS 防护的结构性问题在于:它让攻击者来决定客户的价格。如果每吸收 1 Gbps 洪流都让你花钱,那么一个能朝你 IP 砸出几百 Gbps 的攻击者,单凭经济压力就能把你赶出平台——根本无需突破任何防线。NordBastion 把这视为平台层面的成本,并在整个目录上摊销:每一台 VPS、每一档独占都附带相同的全程开启体量与第七层缓解,吸收的攻击流量从不开票。
在机制上,四个据点各自以 1.6–2.4 Tbps 的总入站容量做对等互联,并在靠近运营商交接处提供全程开启的清洗。体量洪流(UDP 放大、SYN 洪水、分片 IP)在边缘路由器处被丢弃;第七层风暴(slow-POST、带轮换 User-Agent 的 HTTP GET 洪水)在到达你的档位之前就被行为分类。控制平面在四个站点之间任播,因此规模大到足以威胁一个据点的攻击会被自动跨其他据点分流。
缓解不做的事情:它不检查你的应用层负载、不终结 TLS、也不知道谁登录了你的服务。它是一道网络层的底线,让你的应用专注于真正到达它的请求。如果你的工作负载需要应用层过滤(SQL 注入防护、滥用机器人评分),就在上面再叠一层 WAF——但不要把两者混为一谈。
关于缓解的问题,逐一解答。
边缘能处理多大规模的攻击?
每个据点都以 1.6–2.4 Tbps 的总入站容量进行对等互联,并配以全程开启的体量清洗,能吸收绝大多数现实世界中的攻击——2025 年第四季度的公开遥测显示,99.4% 的互联网 DDoS 事件都在 100 Gbps 以下。第七层洪流(HTTP GET/POST 风暴)通过行为分类,在到达你的 VPS 之前就被丢弃。每个据点的硬上限就是对等互联总量;真正达到国家级规模的攻击(数 Tbps)会被跨四个据点的任播平面分散。
DDoS 防护要额外收费吗?
不收——而且这是刻意为之的。其他主机把 DDoS 防护定价为按 Gbps 计费的附加项或独立企业档位,这实际上意味着一个小目标因被攻击而被收费。NordBastion 在从 Sentinel($5.90/月)到 Bastille($23.90/月)的每一个 VPS 档位以及每一个独占档位上都包含全程开启的缓解,对已吸收的攻击流量不做按量计费。经济上之所以行得通,是因为缓解成本是在整个平台上摊销,而不是按事件单独开票。
它与 Cloudflare 风格的 WAF 有何不同?
WAF(Web 应用防火墙)工作在 OSI 第七层——它检查 HTTP 请求是否含有应用层攻击特征(SQL 注入、XSS、滥用机器人模式),其自身就是一个终结 TLS 的反向代理。NordBastion 的 DDoS 缓解工作在第三、四层——它在网络边缘就抛弃畸形数据包、放大反射和体量洪流,避免它们消耗你的带宽,并且不终结 TLS、也不看你的应用层负载。两者互补;如果你的应用需要 WAF,就在上面再叠一层。
如果尖峰是我自己的工作负载造成的呢?
合法的爆款流量事件——一次发布、一次媒体报道、Hacker News 头条——在形状上是限速型的、而非攻击型的,行为分类器会放行。如果你用合法流量把所在档位的上行打满,升级路径只是在控制面板里点一下,换成更大的 VPS 或拥有更粗上行的独占档位;无需开工单。出站滥用(你的服务器成为攻击流量来源,比如 SSH 暴力破解器或开放邮件中继)则单独处理——参见 /doctrine/,了解我们会和不会托管的内容。