高防服务器带宽选型指南
一 核心概念与口径
1) 业务带宽:无攻击时服务器可承载的正常业务流量上限,通常按月95计费或按峰值计费,需覆盖入/出方向中较大的峰值;
2) DDoS防护能力:可清洗的攻击流量上限(如100G/300G/600G/T级),与业务带宽不同;
3) 带宽类型:共享带宽(成本低、峰值受限)与独享带宽(稳定可预期、成本高)。面向中国大陆用户优先CN2 GIA/优化回国,面向全球用户关注BGP多线与跨洲时延抖动。
二 快速估算与公式
- 业务带宽下限(稳态):以5分钟粒度采样,取当月第95百分位作为计费带宽;若采用峰值计费,则按历史最高峰并预留冗余。多源站需汇总所有源站带宽。
- 经验选型:为覆盖突发与峰值,业务带宽可按“峰值×1.2–1.5”配置。
- 攻击场景的安全冗余:用压测得到“崩溃/极限带宽”,再乘以安全系数1.5确定防护带宽规格,避免清洗链路拥塞。
- 组合建议:高并发/大流量业务可采用“高防CDN + 源站独享带宽”,由CDN吸收常态与攻击流量,源站保留较小业务带宽即可。
三 场景化带宽与防御建议
| 场景 | 日常并发/带宽特征 | 建议业务带宽 | 建议DDoS防护 | 线路建议 |
|---|
| 中小型网站/API | 低中并发,峰值可预估 | 按“峰值×1.2–1.5”,并做月95评估 | 100–200G | 国内选CN2 GIA/优化回国;全球选BGP多线 |
| 游戏/金融/直播 | 高并发、长连接、突发强 | 独享带宽,按峰值×1.5并留冗余 | 300–500G起,关键业务600G+ / T级 | BGP多线,必要时近源清洗/Anycast |
| 下载站/大文件分发 | 持续大流量,回源占比高 | 独享带宽+CDN分担 | 200–500G(视攻击频率) | 多线BGP,关注回源带宽与成本 |
说明:面向华东用户时,镇江高防节点常见单机100G–600G+防御、BGP多线、华东内往返时延常见<20ms,适合游戏、电商、直播等高并发业务。
四 上线前验证与避坑清单
- 压测与容量:用wrk/ab/h2load做并发与长连接压测,核查P95/P99时延与错误率;用iftop/nload/sar核对实际带宽与TCP连接数/每秒新建连接是否满足峰值。
- 清洗有效性演练:在服务商允许范围内演练SYN Flood、UDP Flood、HTTP慢速、NTP/SSDP放大等,验证清洗触发、黑白名单、速率限制是否生效,关注误杀/漏报与回源策略。
- 线路质量:多时段Ping/Traceroute/MTR采样,关注抖动与丢包;国内业务核查CN2 GIA/优化回国的实际路由与时延。
- 计费与口径:明确共享/独享、入/出方向、95计费/峰值计费、清洗超出阈值处理策略、IP更换/退还与退款条款,避免上线后成本与体验偏差。
- 架构优化:启用WAF/Rate Limiting/日志审计,必要时采用高防CDN与负载均衡降低源站压力与带宽成本。
