摘要：# 别被“T级防护”忽悠了：高防CDN的清洗能力，得这么看才靠谱 前两天跟一个做游戏的朋友聊天，他愁得不行。说上个月刚花大价钱换了个号称“T级清洗能力”的高防CDN，宣传页做得那叫一个炫酷，什么“智能调度”、“全球节点”。结果呢？上周被同行恶意搞了一波，…

别被“T级防护”忽悠了：高防CDN的清洗能力，得这么看才靠谱

前两天跟一个做游戏的朋友聊天，他愁得不行。说上个月刚花大价钱换了个号称“T级清洗能力”的高防CDN，宣传页做得那叫一个炫酷，什么“智能调度”、“全球节点”。结果呢？上周被同行恶意搞了一波，峰值流量冲到200G左右，服务直接瘫了半小时。客服那边来回就一句话：“您遇到的攻击比较特殊，超出了我们默认防护范围。” 朋友气得直拍桌子：“合着我买的不是防护，是张彩票？”

这事儿真不是个例。我这些年看过不少企业，问题往往不是没上防护，而是钱花了不少，买的却是个心理安慰。市面上高防CDN的服务商多如牛毛，个个都说自己“坚如磐石”，但真到刀刀见血的时候，露馅的也不少。

今天咱就抛开那些华丽的PPT，说点实在的。怎么才能像内行一样，评估一个高防CDN真实的清洗能力，而不是只看广告？关键就盯两点：压力测试和那份藏在角落的SLA协议。

一、压力测试：别只看报告，要自己“踹两脚”

很多服务商会给你一份漂亮的第三方测试报告，数据好看得不得了。但说句大实话，那报告很可能是在“温室环境”下测出来的——攻击模式单一，流量模型理想。真到了线上，攻击者哪会跟你讲武德？

所以，我的建议是，如果条件允许，一定要争取做一次真实业务场景下的压力测试。当然，不是让你去DDoS别人，而是跟服务商协调，让他们从外部攻击节点，模拟真实攻击流量，对你的防护配置进行“实战演练”。

这里有几个你必须盯紧的细节：

• 攻击类型够不够“脏”？ 别只测SYN Flood这种基础款。现在的攻击，尤其是针对游戏、金融的，早就升级了。你得问问，能不能模拟 CC攻击（HTTP/HTTPS Flood）、慢速攻击（Slowloris）、混合攻击（各种流量搅和在一起），甚至是一些利用协议漏洞的反射放大攻击（比如Memcached、NTP反射）。攻击越“杂”，越能考验清洗中心的“分拣”能力。
• 清洗延迟到底是多少毫秒？ 这是最核心的体验指标。服务商可能会吹嘘“秒级清洗”或“毫秒级响应”。但你要问清楚：从攻击流量触发阈值，到清洗生效，业务流量恢复正常，中间到底需要多少毫秒？ 是50ms，还是200ms，还是500ms？对于在线游戏、实时交易来说，200ms的延迟波动，用户可能就已经开始骂娘了。这个数据，必须在你的业务容忍度之内。
• 误杀率能不能接受？ 清洗，说白了就是“把脏水泼掉，把好水留下”。但机器不是神，总有误判。一次压力测试下来，你要看看正常用户的访问有没有被误拦截？特别是如果你用了APP、或者有特定的API调用模式，这些正常流量在攻击洪流里有没有被“错杀”？一个激进但高误杀的策略，可能比攻击本身更伤业务。

说白了，压力测试就像试车，你不能光听销售吹百公里加速，得自己上手开两圈，过个坎，踩脚急刹，感受一下。

二、SLA协议：别光看“可用性”，要抠“清洗成功率”和赔偿

说到SLA（服务等级协议），很多人的注意力都在那个“99.99%”的可用性承诺上。但这对于高防服务来说，基本等于一句正确的废话——都被人打瘫了，还谈什么“可用”？

真正要命的，是下面这几个藏在补充条款或附件里的指标，你必须拿着放大镜看：

1. 攻击防护成功率（或清洗有效性）： 这是核心中的核心。服务商敢不敢写，比如“对于不超过已购买防护峰值的、已知类型的DDoS/CC攻击，保证99.5%以上的清洗成功率”？注意看定语——“已知类型”、“不超过防护峰值”。如果连这个都不敢承诺，或者只含糊地说“尽力防护”，那你可得留神了。
2. 清洗生效时间（MTTR）： 就是刚才压力测试里提到的延迟，在SLA里应该有明确的上限承诺。例如“在攻击流量达到清洗阈值后，保证在X秒内完成流量牵引与清洗生效”。这个“X”是2秒还是5秒，天差地别。
3. 数据报表的粒度： SLA里要规定，服务商必须提供多细的攻击报告。是只有每天的总流量图，还是能提供秒级/分钟级的攻击流量、类型、来源分布、清洗动作的详细日志？后者是你事后分析、调整策略的黄金依据。很多服务商在这里会模糊处理，给你的报表简陋得像张手绘图。
4. 赔偿条款怎么算？ 如果没达到承诺的清洗成功率或生效时间，怎么赔？是赔服务时长，还是直接赔钱？赔的比例是多少？一个敢承诺具体赔偿条款的服务商，通常对自己的服务更有底气。 如果SLA里对关键防护指标违约避而不谈，只赔“可用性”时间，那这份协议的诚意，你心里应该有数了吧？

我见过最离谱的SLA，通篇都在讲“网络连通性”，关于防护能力的实质性承诺，一个字没有。签这种协议，就跟买保险只保“晴天”一样幽默。

三、把这两点串起来看：一些实战建议

好了，压力测试和SLA指标都明白了，怎么用呢？给你几个接地气的建议：

• 别只看峰值，关注弹性扩容。 你买100G的防护，不代表攻击到101G你就死定了。问问服务商，超峰后的弹性扩容机制是什么？ 是自动无缝开启，还是需要人工申请？扩容的速率和价格怎么样？真正专业的高防，应该能像云服务一样，在攻击超限时自动、平滑地提供额外的清洗能力，哪怕只是临时顶住最猛的几分钟。
• 源站隐藏不是万能药，但必须做好。 高防CDN的原理，是把流量引到它的清洗中心，干净了再回给你。如果你的源站IP没藏好，被人“打穿”防护直接摸到老家，那再强的CDN也是摆设。检查一下，服务商提供的回源方式是否足够安全（比如专用隧道、IP白名单），有没有暴露源站的风险。
• 问问他们的“情报”能力。 顶级的高防服务商，背后都有一个庞大的威胁情报网络。他们能不能提前感知到即将发生的、针对某个行业的大规模攻击？能不能基于历史数据，对你的业务给出针对性的防护策略建议？这能让你从“被动挨打”转向“主动防御”。
• 最终，相信你的测试和合同，而不是销售的话术。 销售跟你说“没问题，放心”，你要让他把“没问题”对应的具体SLA条款指给你看。让他把“放心”落实在可执行的压力测试方案里。

说到底，评估高防CDN，就是个去魅的过程。把那些“全球节点”、“AI智能”、“T级防御”的光环拿掉，回归到最本质的问题：当最坏的情况发生时，它到底能不能、以及多快能把我的业务保下来？白纸黑字怎么写，实战测试怎么表现。

安全这事儿，永远是为最坏的情况做打算。别等攻击真的来了，才看着瘫痪的业务页面，后悔当初没多问那几句、多测那一下。

行了，关于清洗能力，今天就聊这么多。如果你正在选型，照着上面几点去跟服务商“聊聊看”，保准能问到点子上。