蓝易云CDN:云服务器被攻击?10招教你如何应对
蓝易云CDN:云服务器被攻击?10招教你如何应对
云服务器一旦被攻击,轻则业务卡顿,重则数据丢失、服务瘫痪。与其事后手忙脚乱,不如掌握这10个实战招数,从应急止血到长效防护一次讲透。🛡️
第1招:一眼看穿攻击类型
处置攻击的第一步永远是"搞清楚发生了什么"。执行以下命令快速建立全局认知:
vmstat 1 5
vmstat是系统性能快照工具,1 5表示每隔1秒采样一次、连续采样5次。重点看r列(等待运行的进程数)、si/so列(交换分区读写)和us/sy列(用户态/内核态CPU占比)。如果r值远超CPU核心数且sy占比飙高,大概率是网络层的洪水攻击在消耗系统资源;如果us占比高,则可能是CC攻击导致Web应用进程过载。📊
第2招:锁定攻击源头
找出谁在打你:
ss -tnp state established | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -rn | head -20
这条命令用ss筛选所有处于ESTABLISHED状态的TCP连接,awk提取远端地址列,cut去掉端口号只保留IP,最后统计排序取前20。正常用户的连接数通常在个位数,如果某个IP有几百甚至上千条连接,它就是攻击源。🎯
第3招:批量自动封禁恶意IP
手动封IP太慢,用一行命令搞定:
ss -tnp state established | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | awk '$1>80{print $2}' | xargs -I {} iptables -I INPUT -s {} -j DROP
前半段和第2招一样统计IP连接数,awk '$1>80{print $2}'筛选出连接数超过80的IP,xargs -I {}将每个IP作为参数传给iptables执行封禁。阈值80可根据你的正常业务并发量调整——比如你的站点峰值单IP也就30个连接,那阈值设50就足够安全。⚡
第4招:开启SYN Cookie抵抗洪水攻击
SYN Flood是最常见的DDoS手法,内核层面可以直接对抗:
sysctl -w net.ipv4.tcp_syncookies=1
sysctl -w net.ipv4.tcp_max_syn_backlog=65535
sysctl -w net.ipv4.tcp_synack_retries=1
第一条开启SYN Cookie,当半连接队列满时系统不丢弃新连接,而是用加密Cookie机制验证客户端是否真实。第二条将半连接队列从默认的1024扩大到65535,大幅提升缓冲能力。第三条把SYN-ACK重传次数降为1次(默认5次),让伪造连接更快超时释放,减少资源浪费。这三条配合使用,服务器对SYN Flood的抵抗力提升数个量级。💪
第5招:Nginx请求频率限制——压制CC攻击
CC攻击专打动态接口,用Nginx限速可以有效削弱冲击:
http {
limit_req_zone $binary_remote_addr zone=guard:20m rate=15r/s;
server {
location / {
limit_req zone=guard burst=30 nodelay;
limit_req_status 444;
}
}
}
limit_req_zone以客户端IP为键,在名为guard的20MB共享内存中记录每个IP的请求频率,限制为每秒15次。burst=30允许最多排队30个突发请求,nodelay表示突发请求立即处理而非排队等待。limit_req_status 444将超限请求直接返回444状态码——这是Nginx特有的状态码,会直接断开TCP连接不返回任何响应体,比返回503更省资源。
改完后验证并重载:
nginx -t && systemctl reload nginx
nginx -t检查语法正确性,通过后reload平滑加载新配置,全程不中断已有连接。✅
第6招:关闭一切不必要的端口
攻击面越小越安全。先审计当前开放了哪些端口:
ss -tlnp
-t只看TCP,-l只看监听状态,-n数字显示端口,-p显示对应进程。逐一核对,只保留业务必需的端口(通常就是80、443和一个非标准SSH端口)。数据库端口如MySQL 3306、Redis 6379绝对不能暴露在公网,确认它们只监听在127.0.0.1:
grep -E "^bind|^port" /etc/redis/redis.conf
grep -E使用扩展正则,同时搜索以bind或port开头的配置行。确保bind值为127.0.0.1而非0.0.0.0。🔒
第7招:SSH安全加固——堵住入侵大门
SSH是攻击者最爱尝试的突破口。三步加固:
sed -i 's/^#Port 22/Port 61024/' /etc/ssh/sshd_config
sed -i 's/^PermitRootLogin yes/PermitRootLogin no/' /etc/ssh/sshd_config
sed -i 's/^#MaxAuthTries 6/MaxAuthTries 3/' /etc/ssh/sshd_config
systemctl restart sshd
第一行将SSH端口从22改为61024,避开扫描器的默认探测。第二行禁止root用户直接登录,强制使用普通用户登录后再su提权,降低暴力破解的价值。第三行将单次连接允许的认证尝试次数从6次减为3次,配合fail2ban可以更快触发封禁。最后重启SSH服务生效。改完后务必在云服务商安全组中放行新端口。⚠️
第8招:自动化入侵检测——让服务器自己抓贼
安装轻量级的文件完整性监控:
yum install -y aide
aide --init
cp /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
AIDE(Advanced Intrusion Detection Environment)是Linux下的文件完整性检查工具。aide --init扫描系统关键文件并生成基准数据库,记录每个文件的权限、大小、哈希值等指纹信息。第三行将初始数据库重命名为正式数据库。之后定期执行aide --check,它会逐一比对当前文件和基准库的差异,任何被篡改的系统文件都会被标记出来。把检查命令写入crontab每天自动执行一次,就能在第一时间发现入侵痕迹。🔍
第9招:日志集中监控——攻击无处遁形
把关键日志的异常信息实时抓取出来:
tail -f /var/log/nginx/access.log | awk '$9 ~ /^(444|499|502|503)/ {print strftime("%H:%M:%S"), $1, $7, $9}'
tail -f实时跟踪Nginx访问日志的新增内容。awk判断第9个字段(HTTP状态码)是否为444、499、502、503这几个异常状态码,符合条件的请求打印出时间、客户端IP、请求路径和状态码。这条命令运行起来相当于一个简易的实时攻击监控面板,能直观看到哪些IP在触发限速规则或导致后端报错。📡
第10招:接入蓝易云CDN——一劳永逸的终极方案
前面9招都是在源站层面的防御,能大幅提升抗攻击能力,但本质上还是在"硬扛"。接入蓝易云CDN后,防护逻辑发生根本变化:域名的所有流量先到达CDN的高防节点,DDoS流量清洗、CC智能识别、WAF规则拦截全部在边缘完成,只有合法的干净流量才回源到你的服务器。源站IP完全隐藏,攻击者找不到目标,自然也就打不动。
配合一个关键操作就能让防线滴水不漏:接入CDN后立即更换服务器公网IP,并在安全组中设置仅允许CDN回源IP段访问80和443端口。这样即使有人通过历史记录翻出你的旧IP,新IP上的安全组也会拒绝一切非CDN来源的Web请求。🎯
总结
这10招按照应急止血 → 系统加固 → 主动检测 → 架构防护的逻辑层层递进。前3招用于紧急时刻快速止损,第4到第8招建立系统级安全基线,第9招实现持续监控预警,第10招从架构层面彻底解决问题。全套执行下来,你的云服务器就不再是一个随时可能被打穿的靶子,而是一座层层设防的堡垒。🚀
