网站被DDoS攻击怎么排查?
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文由云服务器代理商:翼龙云yilongcloud撰写。
第一步:登录服务器,3 组命令判定是否遭遇 DDoS
新版 Linux(CentOS8+/Ubuntu20+)默认移除 netstat、iftop,下面同时提供预装原生工具方案,断网无需额外安装。
查看网卡总流量cat /proc/net/dev# 查看全量TCP连接IP分布
ss -nt | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr
大量不同陌生独立 IP 持续产生巨量入站流量,单 IP 段占用 80% 以上带宽,是 DDoS 典型特征;若仅单一国内 / 海外访客 IP,大概率是爬虫而非攻击。
第二步:4 类常见 DDoS 攻击特征与对应处置思路
第三步:紧急止血操作(正确执行顺序,同步并行操作)
纠正错误逻辑:不要先改 DNS,DNS 有 TTL 缓存,几分钟生效期服务器会持续被打,先做本地封堵止损
1.第一层:云安全组 /iptables 临时封堵攻击源(立刻执行)
o关闭所有非业务端口,仅放行 80、443、自定义管理端口;
o针对攻击高频 IP 段添加黑名单,限制单 IP 最大并发连接; 简易 iptables 限流示例:限制单 IP 最多 15 条 TCP 连接
iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 15 -j DROP
2.第二层:立刻提交云厂商工单申请临时清洗 阿里云国际、AWS 均可免费开启基础 DDoS 应急清洗,告知业务遭受流量攻击,机房会临时分流脏流量。
3.第三层:切换域名解析至高防 IP(同步操作,等待缓存生效) 修改域名 A 记录指向高防清洗 IP,所有访问流量先经过高防机房过滤,干净流量回源 ECS; 注意海外域名 TTL 建议调低至 300s,缩短等待时间。
第四步:三道长期防御城墙,出海跨境业务标配
第一道:高防 IP(底层流量清洗,抵御 SYN/UDP 洪水)
海外独立站、AI 推理服务必备,阿里云国际高防、AWS Shield 高级防护可覆盖全球多地域节点; 攻击流量先在高防机房拦截,不会直达源站导致服务器卡死,按月付费成本远低于单次宕机损失。
第二道:全球 CDN(拦截 CC、分散访问压力)
搭配阿里云国际 CDN / CloudFront 托管静态资源、首页页面; CDN 边缘节点天然分流海量访问,CC 攻击很难穿透 CDN 到达后端 ECS,同时兼顾全球用户访问速度,满足 GDPR 缓存合规。
第三道:Web 应用防火墙 WAF(拦截应用层 CC、爬虫、注入攻击)
针对 HTTP/HTTPS 请求做深度检测,识别虚假 UA、高频扫描、恶意接口请求,自动拉黑攻击 IP,解决 CPU 被 CC 打满的问题。
兜底防护:自动磁盘快照
每日定时备份系统盘、数据盘,攻击造成文件损坏、勒索风险时,控制台几分钟回滚恢复业务;快照仅收取少量存储费用,无额外服务费。