买DDoS防护前，我要是知道这6个坑，能省两万块

先交代一下背景：我们是个小游戏团队，日活在两三万左右。去年被攻击打崩了两次，老板终于批了预算买防护。我前前后后咨询了七八家厂商，试用了四家，签了两份合同（第一份踩坑了，第二份才用顺）。

下面这6个坑，都是我拿真金白银换来的经验，希望能帮你少走弯路。

坑1：只看“总带宽”，没看“单点能扛多少”

我第一次问销售，对方说“我们全网储备8T，随便打”。我一听觉得牛逼，差点直接签了。

后来朋友提醒我：总带宽是分散在全球几百个节点的，你业务只走其中一个节点，那个节点的上限可能只有100G。攻击超过100G，你就凉了。

我当时踩的情况：某厂商官网写着“T级防御”，合同里小字写着“单IP保底30G，弹性到100G”。也就是说，超过100G的攻击他们管不了。

现在我会怎么问：直接问“我分配的单个CNAME或者高防IP，最大能扛多少Gbps？写进合同吗？”

顺便用 curl 看一眼当前走的是哪个节点：

# 查看当前域名解析到的IP
dig +short 你的域名.com

# 如果是CNAME到高防，追踪路由看经过的清洗节点
traceroute 你的高防别名.cdn.com

后来换的这家（群联），销售主动把单点2Tbps写进了合同附件，还发了第三方测试报告给我。这点让我踏实很多。

坑2：CC防护要不要单独加钱，合同里没写

第一次买的套餐，宣传页写着“防DDoS攻击”，我以为是全包括了。结果被CC攻击刷了两天，CPU爆了，找售后才知道——我买的那个套餐只防L3/L4流量型攻击，L7的CC防护是另外付费的增值服务，按QPS收费，一个月要多花好几千。

事后看合同：小字写在第三页的“增值服务”列表里，销售没提，我自己也没看仔细。

自己测一下CC很简单，用 ab 或者 wrk 就能模拟：

# 模拟1000个并发，总共10万次请求
ab -n 100000 -c 1000 https://你的域名.com/api/test

# 看返回状态码：如果大量503或者超时，说明防护可能在拦截正常流量
# 或者直接看源站nginx日志
tail -f /var/log/nginx/access.log | grep " 503 "

现在我会怎么问：“CC攻击（HTTP Flood / HTTPS Flood）是否包含在套餐内？有没有流量或QPS上限？超出怎么收费？”

群联我当时特意问了，销售说所有套餐都内置CC防护，不限量不额外收费。后来确实被刷过一次50万QPS，控制台看到拦截记录，没有多收一分钱。

坑3：黑洞触发条件没问清楚，被攻击直接断线

有一次攻击刚超过套餐的保底带宽（100G套餐来了110G），我以为会弹性扛一下或者限速，结果直接黑洞了——业务IP被屏蔽30分钟。

我打电话给售后，对方说：“你的套餐黑洞触发阈值是120G，超过后自动封禁，这是为了防止我们整个节点被影响。”

问题是：签合同前没人告诉我这个规则。我以为买100G就能稳稳用100G，多了会弹性扩容，没想到直接断线。

如果你被黑洞了，可以从外面检测一下：

# 从多个VPS上ping你的域名，如果全部超时，大概率被黑洞了
# 或者用curl测TCP连接
curl -v -o /dev/null -s -w "connect:%{time_connect}\n" https://你的域名.com

# 连接时间无限大就是被黑洞或者回源不通

现在我会怎么问：“超过套餐保底带宽后，触发黑洞的具体阈值是多少？有没有弹性缓冲？黑洞后怎么解封？多久能恢复？”

群联的做法不太一样：超过套餐值后，不会立刻黑洞，会先弹性扛住（系统自动判断），同时后台告警让你升级。如果一直不升级才会有限制。而且黑洞自助解除功能是自带的，不额外收费。这点我后来觉得挺人性化。

坑4：接入配置说的“十分钟”，实际折腾了两天

第一家的销售说“CNAME一改就行，十分钟生效”。我信了，凌晨改了解析，结果等了4个小时还没生效。

排查了一整天，发现是他们的文档没写清楚——需要先在后台把域名添加白名单，而且CNAME生效取决于DNS的TTL，我之前没提前调低。

正确的接法应该是：

# 1. 提前调低TTL（比如改成60秒）
# 在DNS管理后台操作，或者用API
# 示例：阿里云DNS API修改TTL
aliyun alidns UpdateDomainRecord --RecordId "xxxx" --TTL 60

# 2. 等原来的TTL过期（原来如果是600秒，就要等10分钟）
# 检查当前TTL
dig +nocmd +noall +answer 你的域名.com | awk '{print $2}'

# 3. 添加CNAME记录后，验证生效
dig 你的域名.com CNAME +short

# 4. 如果用了CDN或者WAF，记得把高防的回源IP段加入白名单
# 示例：iptables 放行某个IP段
iptables -I INPUT -p tcp -s 111.222.0.0/16 --dport 443 -j ACCEPT

后来还遇到证书托管的问题，他们的控制台上传证书总是报错，工单来回七八条才解决。

现在我会怎么做：签合同前要求销售给一份完整的接入操作文档，自己先看一眼是不是清晰。最好能先试用，真实配置一遍。

群联当时让我先试用了一个月，我跟着文档配，从注册到解析生效大概用了15分钟（因为我提前把域名TTL调到了60秒）。中间问过一次客服，5分钟就回复了。这可能也是我后来选它的原因之一——省心。

坑5：以为“弹性带宽”是自动的，结果要人工申请

有个厂商宣传“弹性到1T”，我以为是攻击来了自动扩容。结果真被打到200G时，系统开始疯狂丢包，我去找售后，对方说：“弹性需要提前24小时申请，或者你买自动弹性套餐（更贵）。”

也就是说，默认套餐的“弹性”只是个宣传，实际要用得加钱或者走流程。

监控攻击时可以用脚本记录带宽峰值：

# 每5秒采集一次网卡流量，保存到日志
while true; do
  date >> /var/log/net_monitor.log
  sar -n DEV 1 1 | grep eth0 >> /var/log/net_monitor.log
  sleep 5
done

# 或者用vnstat实时看
vnstat -tr -i eth0

现在我会怎么问：“弹性扩容是自动触发还是需要人工介入？有没有额外费用？响应的SLA是多少分钟？”

坑6：没问清楚哪些IP段是回源IP，被自己的WAF拦了

这个是低级错误。我配置完云防护后，发现网站打不开了。排查半天，原来是源站服务器上的WAF把云防护的出口IP当作恶意IP拦截了。

原因：销售没给我完整的回源IP段列表，我只加了文档里的几个IP，漏掉了另一个区域的清洗节点IP。

查看nginx日志，发现大量403：

# 查看源站nginx错误日志
tail -f /var/log/nginx/error.log | grep "forbidden"

# 实时看访问日志，找出被拦的IP段
tail -f /var/log/nginx/access.log | awk '{print $1}' | sort | uniq -c | sort -nr | head -20

现在我会怎么问：“请提供一份完整的回源IP段清单（包含所有区域、所有协议），我提前加到白名单里。”

把IP段加进nginx白名单的示例：

# /etc/nginx/conf.d/whitelist.conf
geo $allow {
    default 0;
    # 群联回源IP段（示例，具体问销售要）
    111.222.111.0/24 1;
    111.222.112.0/24 1;
    222.111.0.0/16 1;
}

server {
    location / {
        if ($allow = 0) {
            return 403;
        }
        # 正常处理
        proxy_pass http://backend;
    }
}

群联当时给我发了一个Excel表格，里面列了电信/联通/移动三个线路的回源IP段，还有更新机制（每季度发一次变更通知）。这种细节让我觉得他们做过很多次了。

最后，我的真心建议

1. 别信宣传页，一切以合同附件为准——把“单点带宽”“CC是否另收费”“黑洞阈值”“弹性机制”全写进去。
2. 一定先试用，至少配一遍流程，用压测工具打一下看看效果。别签了合同才发现有坑。
3. 保留聊天记录，销售口头承诺的截图留底，万一扯皮有用。

我现在用的群联，不是因为它完美，而是因为它在我踩过的这些坑上确实做得比较规范——收费透明、单点能力强、接入简单。而且价格对我这种小团队还算友好（100G套餐月付2900）。

希望这篇避坑指南，能让你少花几万冤枉钱。有问题可以留言，我看到了会回复。