每款套餐均含 L3/4
每个套餐 — 无论 VPS 还是独立服务器 — 都享有相同的缓解措施。不存在清洗效果更好的高级档位;下限即上限。
1.5 Tbps上游清洗
L3/4所有套餐均包含
24/7始终在线的检测
$10.50L7 DDoS shield · 每月
防护的工作原理
三个阶段,全自动。设计目标是让你大多数时候从图表上得知攻击,而不是从一次宕机中得知。
- 01
检测
边缘路由器持续导出流量遥测数据,并为每个目标 IP 保留一条基线。当流量偏离其常规特征时,会自动触发引流 — 无需工单,无需电话。
- 02
清洗
可疑流量会被引导至总体处理能力达 1.5 Tbps 的上游清洗中心。洪水攻击、伪造的 SYN 和反射垃圾流量会在那里被丢弃,远离你的上行链路。
- 03
回注
干净流量经由同一路由重新进入,并原封不动地到达你的服务器。当攻击消退时,引流会自行结束。
L7 护盾附加组件
HTTP 请求洪水攻击和慢速读取攻击在 L3/4 层看起来是合法的。该防护会终止并检查 HTTP,丢弃垃圾流量,费用为 $10.50/mo。可在任意套餐部署时加购。
常时在线,而非按需启用
检测从不休眠,也从不等待人工介入。如今大多数攻击都短暂且自动化;需要支持工单才能启动的缓解措施,往往为时已晚。
不牺牲流量
缓解措施不会计入你的带宽用量。攻击期间不限量流量依旧不限量,我们也不会为我们丢弃的垃圾流量向你收费。
覆盖什么——以及不覆盖什么
精确范围,直白陈述。一个没有“不覆盖”一栏的防护页面,只是一个营销页面。
| 攻击向量 | 层级 | 状态 |
|---|---|---|
| 流量型洪水攻击针对管道的 ICMP、GRE 及原始数据包洪水攻击 | L3 | 包含内容 |
| SYN / ACK / RST 洪水攻击伪造源地址的 TCP 状态耗尽攻击 | L4 | 包含内容 |
| UDP 洪水攻击与分片攻击高 pps 的 UDP 垃圾流量及分片数据包攻击 | L3/4 | 包含内容 |
| 放大与反射攻击DNS、NTP、memcached、SSDP、CLDAP 反射器 | L3/4 | 包含内容 |
| HTTP 请求洪水攻击格式正确的 GET/POST 洪水攻击、慢速读取、绕过缓存 | L7 | 配备 L7 防护 · $10.50/mo |
| 你应用程序中的漏洞漏洞利用与逻辑滥用 — 任何缓解措施都无法与真实用户区分的行为 | L7+ | 不在覆盖范围内 |
| 超过 1.5 Tbps 的持续洪水攻击超出总体清洗能力上限 | — | 上游可能实施空路由 |
覆盖范围更新于 2026-06-10。如果范围发生变化,此表也会随之变化 — 我们宁愿你在这里读到这些限制,也不愿你在攻击中途才发现它们。持续超过 1.5 Tbps 的空路由是上游运营商的决定,而非我们的决定,且这种情况很少见;我们列出它们,是因为假装它们不存在并不诚实。
DDoS 问题,简短解答
DDoS 防护是包含的,还是需付费的附加项?
攻击开始时会发生什么?
引流是自动的:流量遥测发现异常,清洗即刻启动,干净流量持续流向你的服务器。无需启用任何东西,也不必给谁打电话。大多数攻击来去匆匆,对你的服务没有可见影响。
我需要 L7 防护吗?
如果你对外提供网站或 HTTP API,很可能需要。L3/4 防护拦截针对管道和 TCP 协议栈的洪水,但它不读取 HTTP。一波格式正常的 GET 请求会畅通无阻,除非有东西终止并检查该协议——这正是护盾所做的,$10.50/mo。如果你的服务用的不是 HTTP,就跳过它。
防护会增加延迟吗?
稳态下,没有——流量走正常路径。清洗启动期间,绕行会增加几毫秒,我们认为这相对于离线是公平的代价。攻击结束后,绕行会自动终止。
部署在清洗中心之后
每台服务器在启动那一刻起就位于 1.5 Tbps 的缓解防护之后。无需设置,无需附加费。