查看“︁搬瓦工 VPS 遭遇 DDoS 攻击深度排障与自救手册”︁的源代码

面对搬瓦工 VPS 突然全网失联且无法 <code>Ping</code> 通的情况，需要结合实际运维经验，深入剖析 DDoS 攻击下的空路由（Nullrouted）触发机制，并建立一套从精准判定到彻底自救的实战方案。

== 一、 为什么我的搬瓦工服务器会突然“消失”？ ==

搬瓦工绝大多数套餐方案在设计上更偏向于提供高性能的底层架构，而非自带硬件级 DDoS 防御。这意味着当特定 IP 遭遇大规模恶意请求时，机房会采取自动化保护措施以确保整体链路的稳定。

* 空路由（Nullrouted）机制：当流量超过阈值，系统会将指向该 IP 的所有数据包丢弃，形成所谓的“黑洞”。此时网站无法打开、<code>SSH</code> 无法登陆、<code>Ping</code> 测试也会完全失效。
* 
* 1800 秒封禁周期：触发空路由后，默认的屏蔽时长通常为 <code>1800 秒</code>（30 分钟）。如果封禁解除后攻击仍在继续，屏蔽时间会循环延长，导致服务器反复失联。

== 二、 如何确认自己的服务器正处于 DDoS 攻击中？ ==

在排查网络故障时，首先需要区分是软件配置错误还是受到了流量攻击。通过以下数据特征可以快速锁定故障性质。

'''1. 查看系统邮件通知''' 当 IP 触发空路由时，系统会自动向注册邮箱发送一封包含 <code>is currently under a (D)DoS attack</code> 的邮件，明确告知 IP 已被暂时屏蔽。

'''2. 分析流量特征曲线'''

在排查过程中，通过图形化的数据回馈能最直观地捕捉攻击痕迹。相比于命令行，KiwiVM 后台的统计图表能更清晰地展现出入站流量的异常脉络。

:* 进入路径：登录 <code>KiwiVM</code> 管理后台，在左侧 <code>Security & Records</code> 栏目下点击 <code>Detailed statistics</code> 页面。

:* 观察指标：在右侧详情页中，重点观察 <code>Network I/O (Bits per second)</code> 图表。

:* 黑洞特征判定： 
::* 流量尖峰：如果图表中出现如绿色阴影所示的垂直状极高尖峰，说明该时段遭受了大规模入站流量冲击。 

::* 断崖式归零：在尖峰之后，如果流量瞬间掉落并呈水平直线（接近 <code>0 bps</code>）持续延伸，说明 <code>IP</code> 已被系统自动放入黑洞（空路由）进行清洗。

[[File:kiwivm-detailed-statistics-ddos-traffic.png|thumb|center|800px|alt=KiwiVM 详细统计页面显示 DDoS 攻击导致的流量断崖|通过 <code>Detailed statistics</code> 中的流量断层判定 <code>IP</code> 是否被封禁]]

'''3. 状态矛盾核对''' 如果控制面板显示服务器状态为 Running 且未执行 重装系统 或主动关闭服务，但外部一切连接手段均失效，基本可以判定为遭受了 DDoS 攻击。

== 三、 应急方案：利用 Cloudflare 建立前端防线 ==

由于搬瓦工普通套餐无法提供高防线路，利用 <code>Cloudflare</code> 的全球节点接住流量是目前成本最低且效果最好的自救方式。

'''1. 接入与隐藏逻辑''' 

通过将域名 <code>DNS</code> 托管至 <code>Cloudflare</code> 并点亮橙色云朵图标（代理模式），访客的请求会先打到防护节点而非搬瓦工源站。这种方式能有效隐藏真实 IP，屏蔽掉大量的扫描与流量攻击。

'''2. 防护策略加固'''

* 开启攻击模式：在攻击期间开启 <code>Under Attack Mode</code>，强制访客进行 5 秒安全验证。
* 
* 防火墙规则 (WAF)：在后台针对异常频率的请求或特定国家/地区设置拦截规则。
* 
* 优化缓存设置：适当提高静态资源的缓存比例，减少回源请求，减轻服务器的 <code>CPU</code> 与网络压力。

== 四、 利用快照功能实现数据迁移与 IP 更换 ==

如果攻击方持续对特定 IP 进行攻击，即使配置了 <code>Cloudflare</code>，旧 IP 一旦解封仍可能被再次打进黑洞。此时，利用快照功能进行业务迁移是更为彻底的办法。

'''数据迁移与环境恢复流程：'''

* 制作快照：在 KiwiVM 界面进入 <code>Snapshots</code> 页面，为当前受攻击的服务器做一个全量 备份。
* 
* 快照还原与迁移：利用'''搬瓦工的快照'''功能，可以新建一台同配置的 VPS 并还原该镜像。或者通过面板功能进行'''更换机房'''来获取全新的 IP 地址。
* 
* 解析同步更新：在获取新 IP 后，只需在 <code>Cloudflare</code> 后台修改 <code>A 记录</code>，新 IP 会在几秒钟内生效，从而切断旧 IP 的受攻击链路。

== 五、 长期预案：建立高可用的 VPS 使用环境 ==

防御 DDoS 攻击是一项长期工作。通过完善的预案体系和日常的加固措施，可以将潜在的停机风险降到最低。

'''安全预防建议：'''

* 双机备份方案：建议准备一台速度快的线路（如 香港CN2 GIA 或 日本东京CN2 GIA）作为直连主力机，同时准备一台便宜的KVM常规套餐作为备份服务器。一旦主力机被黑洞，立即切换解析到备份机并开启 <code>Cloudflare</code> 防御。
* 
* 系统加固与监控：日常运维中应当修改SSH端口，定期通过 <code>Audit Log</code> 观察异常操作，并确保开启了'''搬瓦工自动备份'''功能以应对极端情况。
* 
* 资源合理分配：若业务量增长明显，建议及时'''升级套餐'''。如果 IP 已被打残无法解封，可咨询'''搬瓦工客服'''关于'''购买IP'''的具体事宜或申请 退款。

'''注意事项'''

* 当 IP 处于空路由状态时，所有的 <code>SSH</code> 工具（如 <code>Xshell</code>、<code>Xftp</code>）均无法连接，请耐心等待 1800 秒解封。
* 
* 若服务器因 CPU 占用过高被暂停（Suspended），处理流程会有所不同。请务必确认失联原因属于流量攻击而非资源超载。

[[Category:400 常见问题与故障排查 — Troubleshooting]]