蓝易云CDN：阿里云服务器被攻击后的完整解决方案

当阿里云服务器遭受网络攻击时，很多站长会陷入手忙脚乱的状态。其实只要按照正确的思路排查和处置，绝大多数攻击都可以有效化解。下面从实战角度，系统讲解从应急响应到长期防护的全流程。🛡️

一、第一时间确认攻击类型

服务器异常不一定都是攻击，先冷静判断。登录服务器后执行以下命令查看当前连接状态：

netstat -ntu | awk '{print $6}' | sort | uniq -c | sort -rn

这条命令的作用是统计当前所有TCP连接的状态分布。netstat -ntu列出所有活跃的TCP和UDP连接，awk '{print $6}'提取第六列即连接状态字段，后面两个sort配合uniq -c完成去重计数并按数量降序排列。如果你看到SYN_RECV或TIME_WAIT数量异常庞大（比如几千甚至上万），基本可以判定正在遭受SYN Flood或CC攻击。

再查看哪些IP连接数最多：

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -rn | head -20

这条命令提取所有连接的远端IP地址并统计排名。awk '{print $5}'取出远端地址列，cut -d: -f1以冒号为分隔符截取IP部分（去掉端口号），最后统计排序取前20。如果某几个IP的连接数远超正常值，这些就是重点怀疑对象。📊

二、紧急封堵恶意流量

确认攻击源IP后，立即用iptables进行封禁：

iptables -I INPUT -s 恶意IP地址 -j DROP

-I INPUT表示在INPUT链的最前面插入一条规则，-s指定来源IP，-j DROP表示直接丢弃该IP的所有数据包。这是最快速的应急手段。

如果攻击IP分散在某个网段，可以封整个段：

iptables -I INPUT -s 192.168.1.0/24 -j DROP

/24代表子网掩码为255.255.255.0，即封禁该网段下全部256个IP地址。

对于CC攻击，还需要限制单IP的并发连接数：

iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 50 -j REJECT
iptables -A INPUT -p tcp --dport 443 -m connlimit --connlimit-above 50 -j REJECT

这两条规则分别针对80和443端口，使用connlimit模块限制同一IP最多建立50个并发连接，超出部分直接拒绝。--connlimit-above 50就是阈值设定，可根据业务实际情况调整。🔒

三、阿里云安全组加固

光靠服务器本地防火墙还不够，必须在阿里云控制台的安全组层面进行收紧。关键操作包括：

只开放业务必需的端口，比如80、443和SSH的22端口，其余全部关闭。SSH端口强烈建议改为非标准端口，修改方法是编辑SSH配置文件：

vim /etc/ssh/sshd_config

找到Port 22这一行，改为一个不常用的端口号（如Port 59132），然后重启SSH服务：

systemctl restart sshd

修改后记得在安全组中放行新端口并关闭22端口，否则会把自己锁在外面。⚠️

四、Nginx层面的防护优化

如果使用Nginx作为Web服务器，可以在配置中加入请求频率限制：

http {
    limit_req_zone $binary_remote_addr zone=anti_cc:20m rate=30r/s;

    server {
        location / {
            limit_req zone=anti_cc burst=60 nodelay;
        }
    }
}

limit_req_zone定义一块名为anti_cc的共享内存区域，大小20MB，用客户端IP作为键，限制每个IP每秒最多30个请求。burst=60允许短时突发排队60个请求，nodelay表示突发请求不做延迟等待而是立即处理，超出的直接返回503。这能有效削弱CC攻击的冲击力。

修改配置后重载Nginx使其生效：

nginx -t && systemctl reload nginx

nginx -t先检测配置语法是否正确，通过后才执行reload，避免因配置错误导致服务中断。✅

五、接入蓝易云CDN实现长效防护

以上措施属于被动防御，治标不治本。要从根本上解决问题，建议将域名接入蓝易云CDN。接入后源站IP被隐藏在CDN节点之后，攻击者无法直接触达你的阿里云服务器。蓝易云CDN提供的DDoS流量清洗、CC智能识别和Web应用防火墙（WAF）能在边缘节点就把恶意流量过滤掉，真正做到攻击流量不进站。💪

同时别忘了一个关键细节：接入CDN后务必更换源站IP。因为旧IP可能已经被攻击者记录，即使套了CDN，对方仍可能直接打旧IP绕过防护。更换IP后，只在CDN回源配置中填写新IP，不在任何公开渠道暴露。

总结

服务器被攻击的处置核心思路就是四个字：查、封、固、藏。先查清攻击类型和来源，再快速封堵恶意流量，然后加固系统和应用层配置，最后通过CDN隐藏源站实现长期防护。把这套流程走通，绝大多数常见攻击都能从容应对。🚀