VPSCryptoحفاظت DDoS چیست؟
حفاظت DDoS زیرساختی است که حملات سیل را شناسایی میکند و ترافیک خصمانه را upstream پاکسازی میکند، تا سرور شما به درخواستهای مشروع پاسخ دهد در حالی که حمله به یک فیلتر سرازیر میشود.
بهروزرسانی: 2026-06-12
یک حمله distributed denial-of-service (DDoS) هیچ چیزی را هک نمیکند. به سادگی آنقدر ترافیک ارسال میکند — از هزاران دستگاه به خطر افتاده به طور همزمان — که لوله، پشته شبکه یا اپلیکیشن غرق میشود، و کاربران مشروع دیگر نمیتوانند عبور کنند. حملات ساعتی ارزان اجاره داده میشوند، به همین دلیل است که سرورهای بازی را بر سر کینه، کسبوکارها را بر سر یادداشتهای باج و سایتهای بحثبرانگیز-اما-قانونی را بر سر مخالفت میزنند. حفاظت DDoS زیرساخت مقابله است: شناسایی که یک سیل را در چند ثانیه تشخیص میدهد، و ظرفیت پاکسازی به اندازه کافی بزرگ برای جذب آن در حالی که ترافیک واقعی را فوروارد میکند. روی یک VPS، نمیتوانید این را خودتان سوار کنید — تا زمانی که packetها به NIC مجازی شما برسند، نبرد upstream است و قبلاً باخته شده. این باید یک خاصیت شبکه میزبان باشد، به همین دلیل است که در کنار CPU و دیسک روی برگه مشخصات جایش دارد.
سه لایه حمله
- Volumetric (سیلهای L3/L4). اشباع raw پهنای باند: سیلهای UDP، تقویت DNS/NTP، کلاسیکهای botnet به سبک Mirai. بر حسب gigabit سنجیده میشود — حملات مدرن به طور معمول از ۱۰۰ Gbps فراتر میروند، بسیار فراتر از uplink هر سرور واحدی. فقط ظرفیت scrubbing upstream به این پاسخ میدهد.
- حملات پروتکل. اتمام connection-state به جای پهنای باند: سیلهای SYN، ترفندهای fragmented-packet، اتمام جدول اتصال. از نظر حجم کوچکتر، کشندهتر per packet؛ توسط stateful inspection در لبه فیلتر میشود.
- لایه اپلیکیشن (L7). سیلهایی از درخواستهای HTTP مشروع به نظر میرسنده که به endpointهای گران نشانه میروند — صفحات جستجو، فرمهای ورود، فراخوانیهای API. سختترین برای فیلتر کردن عمومی چون هر درخواست شبیه یک کاربر واقعی است؛ توسط rate-limiting، challengeها و caching در لبه اپلیکیشن کاهش مییابد.
یک پشته حفاظت واقعی به هر سه رسیدگی میکند؛ «DDoS protected» که فقط به معنای یک ACL روتر است به هیچکدام نمیرسد.
کاهش چطور واقعاً کار میکند
خط لوله شناسایی → انحراف → scrubbing → تزریق مجدد است. تلهمتری جریان (NetFlow/sFlow) هر IP مشتری را برای ناهنجاریها زیر نظر دارد — یک baseline ترافیک که ناگهان چند برابر میشود، یک ترکیب پروتکل که با یک امضای حمله شناختهشده مطابقت دارد. ظرف چند ثانیه، prefix هدف به ظرفیت scrubbing منحرف میشود: سختافزار فیلترینگ که منابع جعلی را drop میکند، جریانها را rate-limit میکند، رفتار پروتکل را اعتبارسنجی میکند و آنچه باقی میماند را رد میکند. ترافیک تمیز به سمت سرور شما دوباره وارد شبکه میشود، که اغلب هیچ چیزی متوجه نمیشود. دو رقم مهم زمان-تا-کاهش (ثانیه در مقابل دقیقه تعیین میکند آیا بازیکنان/کاربران اصلاً متوجه میشوند) و headroom scrubbing هستند (یک scrubber ۱۰ Gbps در مقابل یک سیل ۴۰۰ Gbps تزئین است). «Always-on» یعنی ترافیک به طور دائم به صورت inline تجزیهوتحلیل میشود نه اینکه فقط بعد از آسیب منحرف شود؛ برای workloadهای مستعد حمله این تفاوت محصول است.
آنچه «حفاظت DDoS رایگان» پوشش میدهد — و آنچه نمیتواند
حفاظت شاملشده (از جمله ما) لایههای شبکه را پوشش میدهد: جذب volumetric و فیلترینگ پروتکل تا مقیاس چند صد gigabit، always-on، بدون هزینه اضافی، در هر مکان. آنچه هیچ فیلتر سطح شبکهای نمیتواند به طور کامل پوشش دهد کارایی اپلیکیشن خودتان است: اگر یک درخواست HTTP ارزان باعث شود اپلیکیشن شما یک query پنج ثانیهای پایگاه داده اجرا کند، یک مهاجم فقط به چند صد درخواست در ثانیه — غیرقابل تمایز از کاربران — نیاز دارد تا به شما آسیب برساند. مقاومت L7 کار مشترک است: میزبان سیلها را فیلتر میکند؛ شما به طور تهاجمی cache میکنید، endpointهای گران را rate-limit میکنید، و (اگر صفحات challenge میخواهید) با یک CDN جلو میروید. میزبانهای صادق این را میگویند؛ از هر کسی که «unhackable» وعده میدهد مراقب باشید.
چرا پروژههای مستعد حمله برای آن به آفشور میروند
یک الگوی زشت در میزبانی اصلی وجود دارد: مورد حمله قرار گرفتن، تعلیق شدن. سیاست واقعی DDoS بسیاری از ارائهدهندگان بودجهای null-route کردن قربانی است — IP شما تا زمانی که حمله متوقف شود تاریک میشود، که یعنی مهاجم فوراً و مکرراً برنده میشود. شبکههایی با کاهش جدی و فرهنگ عدم مجازات قربانیان به طور نامتناسب در گوشه آفشور/DDoS-tolerant بازار یافت میشوند — رومانی دقیقاً برای همین مشهور است. سیاست ما سالم است: مورد حمله قرار گرفتن یک نقض نیست، کاهش به طور خودکار درگیر میشود، و هیچکس برای قربانی بودن null-route نمیشود. (البته راهاندازی حملات در طرف دیگر AUP قرار دارد.)
پرسشهای متداول
آیا حفاظت DDoS واقعاً در هر پلن VPSCrypto رایگان است؟
بله — کاهش volumetric و protocol always-on در هر tier در هر مکان، از Pup تا Fenrir، شامل میشود. هیچ tier «DDoS add-on» وجود ندارد؛ ما دسترسپذیری را بخشی از محصول پایه میدانیم.
اگر سرورم مورد حمله قرار گیرد تعلیق میشوم؟
نه. قربانی یک حمله بودن اینجا نقض AUP نیست. کاهش به طور خودکار درگیر میشود و سرویس شما در ظرفیت حفاظت بالا میماند. واکنش تعلیق-قربانی میزبانهای بودجهای دقیقاً همان چیزی است که پروژههای مستعد حمله باید از آن فرار کنند.
آیا حفاظت ترافیک معمولی من را کند میکند؟
نه به صورت قابل اندازهگیری. خارج از شرایط حمله ترافیک با تجزیهوتحلیل inline به طور معمول جاری میشود؛ در طول کاهش، جریانهای تمیز پس از فیلترینگ با overhead تأخیر در میلیثانیههای پایین فوروارد میشوند — در مقایسه با جایگزین، که آفلاین بودن است، نامرئی.
آیا میتوانم یک سرور بازی را در برابر سیلهای L7-style محافظت کنم؟
پروتکلهای بازی از لایههای volumetric و protocol بهرهمند میشوند، که جایی است که اکثر حملات بازی در آن زندگی میکنند (سیلهای UDP). برای سوءاستفاده سطح اپلیکیشن داخل پروتکل بازی، حفاظت سطح میزبان را با rate و session limits خود سرور بازی ترکیب کنید — صفحه VPS سرور بازی ما را ببینید.
آیا هنوز به Cloudflare یا CDN در جلوی یک وبسایت نیاز دارم؟
برای سیلهای خالص شبکه، نه. برای سوءاستفاده HTTP-layer در برابر endpointهای گران، caching یک CDN و صفحات challenge یک سپر L7 مفید اضافه میکنند، و پنهان کردن IP مبدأ شما پشت آن سطح حمله مستقیم را کاملاً حذف میکند. آنها خوب ترکیب میشوند: scrubbing در پایین، CDN در بالا.
کاوش بیشتر.
در حدود یک دقیقه یک VPS آفشور راهاندازی کنید
بدون KYC، پرداخت کریپتو، تماماً NVMe. یک پلن انتخاب کنید، با مونرو یا هر کوین اصلی پرداخت کنید و در حدود ۶۰ ثانیه دسترسی root بگیرید.
