主机遭受 DDoS 攻击时的应对与预防指南 🛡️

当你的服务器突然出现带宽跑满、网站无法访问、SSH连接超时等异常现象时，很可能正在遭受DDoS（分布式拒绝服务）攻击。这类攻击通过操控大量"肉鸡"向目标主机发送海量请求，耗尽服务器资源，导致正常用户无法访问。下面从实战应对和提前预防两个维度，给出切实可行的解决方案。

一、遭受攻击时的紧急应对 🚨

第一步：确认攻击类型与来源

登录服务器后，先用以下命令查看当前网络连接状况：

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -rn | head -20

这条命令的作用是：从所有网络连接中提取远程IP地址（$5列取IP部分），然后统计每个IP的连接数量，按数量从高到低排序，输出前20个。如果某个IP的连接数达到数百甚至上千，基本可以判定为攻击源。

再通过下面命令查看各连接状态的分布情况：

netstat -an | awk '/^tcp/ {print $6}' | sort | uniq -c | sort -rn

该命令筛选所有TCP连接，提取第6列（连接状态字段），统计每种状态的数量。如果SYN_RECV状态大量堆积，说明正在遭受SYN Flood攻击；如果ESTABLISHED状态异常偏多，则可能是CC攻击（应用层攻击）。

第二步：临时封禁恶意IP 🔒

确认攻击源IP后，使用防火墙立即封禁：

iptables -I INPUT -s 192.168.1.100 -j DROP

这条命令将指定IP（192.168.1.100为示例）加入防火墙的INPUT链最前面（-I表示插入到首位），所有来自该IP的数据包会被直接丢弃（DROP），不返回任何响应。

如果攻击IP分布在某个网段，可以批量封禁整个C段：

iptables -I INPUT -s 203.0.113.0/24 -j DROP

/24表示对该IP段前24位匹配的所有地址（即203.0.113.0到203.0.113.255共256个IP）全部执行丢弃操作。

第三步：联系服务商或切换高防线路

当攻击流量超过服务器本身的带宽承载能力时（比如流量达到10Gbps以上），仅靠本地防火墙已经无法招架。此时应当立即将域名解析切换至具备DDoS防护能力的高防节点，由专业的清洗中心在上游过滤恶意流量，只把干净的正常请求转发到源站。

二、日常预防措施 ✅

1. 内核参数加固

修改系统内核参数可以有效抵御中小规模的SYN Flood攻击：

echo "net.ipv4.tcp_syncookies = 1" >> /etc/sysctl.conf
echo "net.ipv4.tcp_max_syn_backlog = 8192" >> /etc/sysctl.conf
echo "net.ipv4.tcp_synack_retries = 2" >> /etc/sysctl.conf
sysctl -p

逐行解释：第一行开启SYN Cookie机制，在SYN队列满时通过加密验证来区分正常握手和伪造请求；第二行将SYN半连接队列容量扩大到8192，允许更多并发握手排队等待；第三行将SYN-ACK重试次数降为2次（默认5次），加速释放无效半连接占用的资源；最后一行让以上配置立即生效。

2. 隐藏真实源站IP 🌐

这一点至关重要。很多站长接入了CDN或高防服务，但源站IP仍然通过历史DNS记录、邮件头信息、子域名等渠道泄露。一旦攻击者掌握了源站真实IP，就可以绕过所有防护节点直接打击源站。正确做法是：更换一个全新的服务器IP，确保该IP从未在任何公开记录中出现过，然后仅通过CDN回源配置与之关联。

3. 接入专业的CDN与DDoS防护服务

将业务部署在具备流量清洗能力的CDN节点之后，是目前应对大规模DDoS攻击最有效的手段。专业的防护平台可以在边缘节点智能识别并拦截攻击流量，同时保障正常用户的访问体验不受影响。

4. 配置速率限制

在Nginx中加入连接频率限制，可以有效缓解CC攻击：

limit_req_zone $binary_remote_addr zone=anti_ddos:10m rate=30r/s;

server {
    location / {
        limit_req zone=anti_ddos burst=50 nodelay;
    }
}

第一行定义了一个名为anti_ddos的限速区域，以客户端IP为标识键，分配10MB共享内存来记录访问状态，限制每个IP每秒最多30个请求。location块中引用该规则，burst=50允许短时突发50个请求排队，nodelay表示突发请求不延迟处理而是立即响应，超出上限的请求直接返回503错误。

三、总结 📌

DDoS防护的核心思路可以归纳为三点：缩小暴露面（隐藏源IP、关闭不必要的端口和服务）、提升承载能力（优化系统参数、扩充带宽资源）、借助专业清洗（接入高防CDN，将攻击流量挡在源站之前）。日常运维中保持安全意识，定期审查服务器配置和访问日志，才能在攻击来临时从容应对，最大限度减少业务损失。