当服务器遭受 DDoS 攻击 后，恢复其正常运行是紧急且重要的任务。以下是一套系统化的恢复流程和建议，帮助你快速解决问题并防止未来的类似攻击。

一、确认 DDoS 攻击的类型及影响

在处理 DDoS 攻击时，首先需要明确攻击的类型和目标，以便采取正确的应对措施。

1. 常见 DDoS 攻击类型

• 流量型攻击： 大量无效流量占满服务器带宽（如 UDP Flood、ICMP Flood）。
• 协议型攻击： 利用协议漏洞耗尽服务器资源（如 SYN Flood）。
• 应用层攻击： 通过大量 HTTP 请求等方式耗尽服务器资源（如 HTTP Flood）。

2. 检查服务器状态

• 检查资源使用情况（如 CPU、内存、带宽）：
• bash
• 复制
• top / htop # 查看服务器的资源占用 iftop / nload # 检查网络流量
• 检查网络连接：
• bash
• 复制
• netstat -an | grep ESTABLISHED # 查看当前的活动连接 netstat -an | wc -l # 统计连接数
• 监控带宽使用：
• 登录服务器管理面板或通过 ISP 提供的工具查看带宽是否被占满。

3. 确认攻击目标

• 目标可能是： IP 地址：针对服务器 IP 的攻击。 端口：某些服务的特定端口（如 HTTP 80 或 HTTPS 443）。 应用层：针对网站或 API 的攻击。

二、紧急恢复服务器运行

1. 暂时屏蔽恶意流量

(1) 通过防火墙拦截攻击源

• 使用 iptables 或其他防火墙规则阻止恶意 IP：
• bash
• 复制
• sudo iptables -A INPUT -s <malicious_ip> -j DROP
• 阻止超过一定数量的连接：
• bash
• 复制
• sudo iptables -A INPUT -p tcp --syn -m connlimit --connlimit-above 20 -j DROP

(2) 启用云防护服务

• 如果服务器部署在云平台（如阿里云、腾讯云、AWS），可以启用云平台提供的 DDoS 防护 服务。 阿里云：高防 IP 服务 腾讯云：DDoS 基础防护 AWS：Shield 防护

(3) 使用 CDN 暂时缓解

• 绑定网站到 CDN 服务（如 Cloudflare、防护盾），通过 CDN 的流量清洗功能过滤恶意流量。 Cloudflare 提供免费 DDoS 防护，可快速启用。

(4) 限制带宽

• 限制新连接速率或总带宽：
• bash
• 复制
• sudo tc qdisc add dev eth0 root tbf rate 100mbit burst 32kbit latency 400ms

2. 重启关键服务

在攻击缓解后，服务器可能仍然超载，可以尝试重启以下服务：

• Web 服务（如 Apache、Nginx）：
• bash
• 复制
• sudo systemctl restart apache2 # 对于 Apache sudo systemctl restart nginx # 对于 Nginx
• 数据库服务（如 MySQL）：
• bash
• 复制
• sudo systemctl restart mysql
• 清理缓存：
  如果使用缓存服务（如 Redis、Memcached），可以清理缓存以释放资源：
• bash
• 复制
• redis-cli FLUSHALL

3. 修改服务器配置以提高抗攻击能力

(1) 限制连接数

• 修改 Web 服务器配置文件：
• Nginx：
  在 /etc/nginx/nginx.conf 中添加：
• nginx
• 复制
• http { limit_conn_zone $binary_remote_addr zone=addr:10m; limit_conn addr 50; # 每个 IP 最大并发 50 个连接 }
• Apache：
  在配置文件中启用 mod_reqtimeout 模块：
• apache
• 复制
• <IfModule reqtimeout_module> RequestReadTimeout header=20-40,MinRate=500 body=20,MinRate=500 </IfModule>

(2) 增加 SYN 防护

• 启用 SYN cookie：
• bash
• 复制
• sudo sysctl -w net.ipv4.tcp_syncookies=1

(3) 增加文件描述符限制

• 编辑 /etc/security/limits.conf，增加服务器的最大连接数：
• plaintext
• 复制
• * soft nofile 65535 * hard nofile 65535

(4) 调整 TCP 参数

• 编辑 /etc/sysctl.conf，优化 TCP 参数：
• plaintext
• 复制
• net.ipv4.tcp_max_syn_backlog = 2048 net.ipv4.tcp_synack_retries = 2 net.ipv4.tcp_fin_timeout = 15 net.ipv4.tcp_tw_reuse = 1
• 应用配置：
• bash
• 复制
• sudo sysctl -p

三、长期防护措施

1. 使用 DDoS 防护服务

• 云厂商的高防服务：
• 购买高防 IP 或 DDoS 防护服务。
• 例如： 阿里云高防 腾讯云黑石高防 AWS Shield Advanced（高级防护）
• 第三方 DDoS 防护服务：
• Cloudflare
• Akamai
• Incapsula

2. 部署 WAF（Web 应用防火墙）

• WAF 能有效防御应用层攻击（如 HTTP Flood）。
• 可选方案： 云厂商自带的 WAF（如阿里云 WAF、腾讯云 WAF）。 开源 WAF（如 ModSecurity、NAXSI）。

3. 使用负载均衡

• 部署负载均衡器（如 Nginx、HAProxy）分发流量，避免单个服务器超载。
• 云厂商提供的负载均衡服务（如阿里云 SLB、AWS ELB）也自带一定的抗 DDoS 能力。

4. 隐藏真实 IP

• 使用 CDN 或反向代理隐藏服务器真实 IP，防止直接攻击。 例如 Cloudflare 会将所有流量代理到其服务器，攻击者无法直接访问源站。

5. 增强服务器性能

• 增加服务器的带宽、CPU 和内存，避免在攻击中因资源不足崩溃。
• 使用缓存和优化数据库查询以减少服务器负载。

四、攻击溯源与后续处理

1. 分析日志

• 检查 Web 服务器日志（如 Nginx、Apache）：
• bash
• 复制
• sudo tail -f /var/log/nginx/access.log # 实时查看 Nginx 访问日志 sudo tail -f /var/log/apache2/access.log # 实时查看 Apache 访问日志
• 使用工具分析恶意流量：
• GoAccess：分析访问日志。
• Wireshark：捕获并分析恶意流量。

2. 识别攻击来源

• 检查哪些 IP 的请求最多，并判断是否属于 DDoS 流量：
• bash
• 复制
• awk '{print $1}' /var/log/nginx/access.log | sort | uniq -c | sort -nr | head
• 将可疑 IP 添加到防火墙黑名单：
• bash
• 复制
• sudo iptables -A INPUT -s <malicious_ip> -j DROP

3. 通报攻击行为

• 如果攻击强烈且持续，可联系你的服务器提供商或网络服务商，要求协助处理。
• 如果攻击规模较大，可以向当地网络安全机构举报。

五、总结

1. 短期应对：
2. 通过防火墙（如 iptables）、CDN、防护服务立即屏蔽恶意流量。
3. 重新启动受影响的服务，恢复服务器运行。
4. 长期防护：
5. 使用高防服务、WAF、负载均衡等技术，提升防御能力。
6. 优化服务器配置，隐藏真实 IP，减少攻击面。
7. 攻击溯源：
8. 分析日志，识别恶意 IP，并采取针对性措施。
9. 必要时寻求专业安全团队的帮助，进一步加强防护。

DDoS 攻击是一种常见但复杂的威胁，通过合理的技术和工具，可以有效减轻其影响并恢复服务器的正常运行。