1.
目标确认:列出业务峰值并发、带宽峰值(Mbps/Gbps)、可接受延迟(ms)、是否需要Anycast、是否要托管爬虫/爬取型流量。
资源清单:记录现有公网IP数、区域(SG1/SG2)、是否需要裸金属或云主机、是否依赖云数据库或原生负载均衡。
2.
重点检查:DDoS最高防护能力(例如:可吸收多少Gbps/百万pps)、清洗中心位置、流量触发默认清洗阈值和清洗时间。
SLA核对:查看可用性(%/年)、赔付条款、故障响应时间(工单/电话/24x7)及电话支持语言。
3.
命令样例:ping -c 10
如何判读:观察丢包、跳点延迟突增、是否存在路径抖动或中转AS异常。多地区测:使用国内外VPS或借助在线测试平台(如RIPE Atlas)进行多点采样。
4.
工具:iperf3(服务端由提供商部署或在评估机上临时开启):iperf3 -s;客户端:iperf3 -c
评估要点:并发流量下TCP吞吐是否稳定,丢包率和重传率。注意:未经允许不要进行大流量测试,以免被视为攻击。
5.
方法:使用whois
判断标准:优选多个上游的Anycast或有直接与亚洲骨干(如NTT、Telstra、SingTel)互联的供应商,保证路由冗余。
6.
询问:清洗是5-tuple还是更深层的报文分析?是否支持应用层(HTTP)清洗?是否有自定义白名单/灰名单机制?
实测(在厂商配合下):请求他们做可控流量模拟,观察正常请求是否被误判、清洗后恢复策略及日志可视化。
7.
核对:是否提供实时日志导出(Netflow/PCAP/HTTP日志)、日志保留时长、是否支持SIEM接入、是否符合GDPR/本地法规。
操作验证:要求演示如何导出nginx/access日志或pcap样本,并确认日志传输加密(TLS/SFTP)。
8.
自动化:用IaC(Terraform/Ansible)描述基础设施,示例:将安全组、路由、子网写成模块,便于在换厂商时复用。
数据迁移:MySQL:mysqldump -A --single-transaction | gzip > all.sql.gz;恢复:gunzip -c all.sql.gz | mysql。文件:rsync -avz --progress /data user@newhost:/data。
9.
演练清单:1) DNS TTL降至60秒;2) 在低峰做一次完整同步并切换一小部分流量;3) 验证健康检查和回滚流程。
回滚命令示例:使用dig @8.8.8.8 yourdomain A 查看解析;如需回滚,恢复DNS记录并监控TTL过期。
10.
回答:第一是清洗能力(Gbps/pps与清洗策略深度),第二是网络上游与BGP冗余(影响延迟与稳定),第三是运维与响应能力(24x7支持、SLA与误杀治理)。
11.
回答:要求现场或远程实测(ping/traceroute/iperf3/MTR)、提供真实案例与第三方监测数据,并签订可检验的SLA与试用期条款,必要时要求厂商提供流量模拟或引导进行受控测试。
12.
回答:提前用IaC与自动化配置把基础设施平台化,尽量使用标准化镜像与容器化服务,设置低TTL的DNS、实时数据同步(异步复制/增量备份)、并在迁移前进行小流量灰度切换与回滚演练。