阿里雲服務器遭受 DDoS / CC 攻擊後的應急響應指南

收到阿里雲發來的短信:「您的ECS實例遭受大流量攻擊,已被送入黑洞清洗……」

我相信任何一個站長或運維看到這條消息,血壓都會瞬間飆升。 網站打不開,用戶在群里瘋狂吐槽,老闆在背後死死盯著你,這時候你手心冒汗,極度容易病急亂投醫。

冷靜。 遇到攻擊,慌張解決不了任何問題。 今天這篇教程沒有任何理論廢話,直接給你一套

生產環境遭遇 DDoS / CC 攻擊時的實戰應急響應指南

。 把這篇文章存進你的書籤,關鍵時刻能保命。

核心概念:先搞清楚你挨的是什麼打

知己知彼才能見招拆招。 攻擊主要分兩種,應對策略完全不同:

DDoS 攻擊(流量型):黑客控制成千上萬台肉雞,用海量的垃圾流量(UDP、TCP Flood)把你的服務器帶寬直接擠爆。 這就像幾萬人同時去擠一個地鐵口,正常人根本進不去。

CC 攻擊(應用型):黑客的流量沒那麼大,但他利用代理 IP 模擬真實用戶,瘋狂刷新你網站上最消耗資源的頁面(如搜索、數據庫查詢、動態接口)。 帶寬沒滿,但你的服務器 CPU 瞬間 100%,直接癱瘓。

第一階段:緊急自救--5分鐘應急流

當你發現網站打不開,且監控顯示流量暴增或 CPU 飆紅時,立刻啟動以下應急步驟。

步驟 1:判斷是否進入了「黑洞」

如果阿里雲直接把你的服務器「黑洞」了,意味著攻擊流量已經超出了阿里雲給普通 ECS 提供的默認防禦閾值(通常是 5G 左右)。

現象:不僅網站打不開,你通過 SSH 連服務器也完全連不上,甚至 ping 服務器公網 IP 全是超時。

解決辦法:登錄阿里雲控制台,搜索 「DDoS防護」,在基礎防護列表裡看一眼你的實例狀態。 如果是「黑洞中」,通常需要等待 30 分鐘到數小時才能自動解封。

💡黑洞期如何自救? 別傻等著。 如果業務急需恢復,立刻去控制台給這台 ECS 綁定一個全新的「彈性公網IP(EIP)」。 只要黑客還沒發現你的新 IP,網站就能立刻短暫復活。

步驟 2:如果 SSH 還能連,緊急排查 CC 攻擊

如果服務器沒進黑洞,但卡得要死,用 VNC 或 SSH 連進去,敲入

頂端

。 如果看到

nginx

或

PHP-FPM

/

Java

把 CPU 吃滿了,90% 是遭遇了 CC 攻擊。

立刻去翻看 Nginx 的訪問日誌(Access Log),抓出正在瘋狂刷屏的特徵:

Bas

H

# 查看當前訪問量最高的潛在線索 IP(前20名)

awk '{print $1}' /var/log/nginx/access.log | sort | uniq -c | sort -nr | head -n 20

觀察這些高頻訪問的請求,尋找它們的共同點:

是不是都在瘋狂請求同一個動態接口(如 /api/v1/search)?

它們的 User-Agent(瀏覽器標識)是不是很奇葩,或者完全一致(比如都是老舊的 IE6.0 或者是空的)?

是不是都來自同一個 IP 段?

步驟 3:立刻在本地「關門打狗」

抓到特徵後,在 Nginx 里進行緊急封禁。

1. 如果是特定 IP 在作怪,直接封 IP 段:

打開你的 Nginx 網站配置文件,在

Server

塊裡直接加入:

Nginx

Deny 123.45.67.89; # 封禁單個惡意IP

Deny 220.181.0.0/16; # 封禁整個惡意的C段或B段IP

然後運行

nginx -s 重新載入

。

2. 如果請求特徵很明顯(比如特定的 UA 或接口),直接返回 403:

Nginx

If ($http_user_agent ~ * "Scrapy|HttpClient|Java") {

Return 403;

}

第二階段:架構重構--斬斷黑客的視線

上面的緊急自救只能擋住低級別的攻擊。 如果黑客換了代理 IP 繼續刷,或者直接上大流量 DDoS,純靠單台 ECS 硬扛是絕對扛不住 if的。

你需要立刻調整架構,

把服務器隱藏到幕後

。

核心防禦架構設計

純文字

【惡意攻擊流量 / 正常用戶】

│

▼

【雲安全防禦層(高防IP / CDN)】 ──(清洗垃圾流量)──> 攔截並丟棄

│

(乾淨流量)

│

▼

【隱藏在 VPC 內的源站 ECS】

步驟 4:接入 CDN 或 WAF(徹底隱藏源站 IP)

黑客之所以能打你,是因為他知道了你服務器的真實公網 IP。 我們要立刻在域名和服務器之間加一道「防火牆」。

接入阿里雲全站加速 DCDN 或安全 CDN:把域名的 DNS 解析,從直接指向服務器 IP,

改為指向 CDN 提供的 CNAME 地址。 這樣,黑客再怎麼查域名,得到的也只是 CDN 的邊緣節點 IP。 CDN 擁有天然的大流量清洗能力,能幫你擋掉絕大部分的 CC 攻擊。

開啟「五秒盾」(JavaScript 挑戰):在 CDN 或雲盾 WAF 的控制台里,把防護等級調到「緊急」或開啟「CC安全防護」。 此時,任何訪問你網站的人都會先彈出一個「正在檢測瀏覽器安全性...」的 5 秒等待頁面。 肉雞腳本沒有真實的瀏覽器渲染引擎,會被這道關卡徹底死死卡住。

步驟 5:切斷服務器舊 IP 的所有直接訪問(關鍵)

很多人接了 CDN 之後發現服務器還是卡死,為什麼? 因為黑客已經記錄了你之前的服務器真實 IP,他直接繞過域名,拿著 IP 往死裡打。

唯一解法:去阿里雲 ECS 控制台,進入 「安全組」。

修改入方向規則:刪除允許所有 IP(0.0.0.0/0)訪問 80 和 443 端口的規則。

改為:只允許你所購買的 CDN 或 WAF 的公網 IP 段訪問 80 和 443。

這樣,除了通過 CDN 轉發過來的乾淨流量,外界任何人直接敲你的服務器 IP,都會提示連接失敗。 你的服務器在互聯網上徹底隱身了。

第三階段:長治久安--防患於未然

經歷過一次毒打後,必須在日常運維中補齊短板:

代碼層面的自我救贖:對登錄、註冊、搜索、短信驗證碼等高危動態接口,必須加上圖形驗證碼或行為驗證(如滑塊驗證)。 在代碼邏輯中引入 Redis 計數器,對單個用戶/單個 IP 限制訪問頻率(例如:1秒內訪問超過5次直接鎖定一小時)。

備好「錢袋子」與高防方案:如果你們做的是電商、遊戲、或者正在搞線上營銷活動,很容易招來同行雇傭的職業黑客。 普通 ECS 無法解決大流量 DDoS。 一旦攻擊流量超過 50G 以上,老老實實購買阿里雲的 DDoS高防(新BGP)。 它擁有 T 級別的清洗帶寬,那是真正用純硬件和頂級帶寬堆出來的防線。

網站被攻擊不可怕,可怕的是黑客在打你,你卻坐在電腦前除了重啟服務器什麼都不會做。 把這套「隱藏源站 清洗流量 應用限流」的打法刻進腦海里,哪怕黑客再來,你也能氣定神閒、兵來將擋。