共计 1262 个字符，预计需要花费 4 分钟才能阅读完成。

经常看到有人说，为什么我买了高防主机，例如ovh或者斯巴达之类的，网站照样被打死了，然后他们就开始说ovh，斯巴达的防御不行，甚至说买高防主机根本没啥用浪费钱，不如直接套cf

这里我解释一下，市面上所有写着高防的，比如300g高防，1Tb高防都是指的防d，这里的d指的是那些l4层的攻击例如syn，ack，udp等等。而你用高防主机建站被打到cpu百分百，你是被c死了而不是d死了，cc攻击是l7攻击，可以简单理解为一堆用户疯狂的打开你的网站并快速刷新，这个cc攻击是最难防的，因为他们会模拟正常用户请求，让你难以分辨

如何防御cc攻击呢？

答：如果你要想防御cc攻击，只能自己在主机上配置防c策略，就是防cc要你自己部署软件防，而dd是商家的硬件防火墙给你在防。这个规则的好坏直接决定了你cc防御质量，规则配置严格了就会拦截正常用户请求，规则配置松了防御效果又不好。而如果你要是1c1g或者2c2g这种低配置的机器，我劝你直接放弃吧，因为无论你规则做的再好，你的性能太差了大量cc过来的时候光用来拦截就已经把cpu占满了，但凡有一点漏网之鱼你的cpu就超载了，防护不可能做到百分百全拦截，就别谈什么防c了。要想做好防c，你需要有一个高配的主机加一个优秀的防护策略，只有这样才能防得住绝大部分cc攻击

为什么我看到有的机器上面写的无视cc攻击呢？

答：这种都是假的，我已经试过好几家了，根本不可能做到无视cc攻击，如果是http请求的话，他们用金盾这样的硬件防火墙还能拦截的住，如果是https这种加密流量，硬件防火墙已经不起作用了（除非他们能劫持ssl证书），得靠你自己配置的软件规则来扛，或者有的商家可能会帮你配置一些简单的防c策略。如果你不信可以买一个那种无视cc的主机，发出来绝对一会就被打死了

为什么斯巴达和Dmit的spro那么贵，溢价那么高？

答：因为它们是市面上为数不多的优化线路高防主机，我印象中就cera和dmit有这种，cera是斯巴达上游。它们既保证了优化线路又保证了高防，当然这里高防仍然是防d不防c。如果你要抗中国方向攻击，那就只有cera能做到了，只有它们接了足够大的中国方向带宽，可以保证被打的时候不拔线，其余的在遭受大流量中国方向攻击的时候，运营商为了保证网络就直接把你的ip空路由了。而高防也只需要在去程路由上清洗，保证回程线路优化即可，这也是为什么cera去程走163线路，因为163线路便宜可以接入的带宽大，才能有资本去做高防

那如何建站才能保证不被打死呢？

答：最简单的就是直接套cf，既可以防dd也可以防一部分cc，唯一的缺点就是线路质量比较差，会流失一部分中国用户，如果你是小站可以无视，这也是最经济实惠的方案了；如果你既想要用户访问快又想防d还要防c，那你只能买一个高配的优化线路高防机器，比如Cera杜甫或斯巴达，同时你还需要有一个良好的cc防护策略，才能实现

希望大家可以对高防有一个更深的认识，不要再问为什么我买了高防机器，我的站还被打死了，因为你建站是既要防d也要防c的，这两者缺一不可！