搬瓦工 VPS 进阶网络安全方案：从基础加固升级到高性能自动化防御：修订间差异

在维护 VPS 时，传统的防火墙（如 iptables 或 nftables）在面对大规模网络攻击时，往往会因为消耗大量 CPU 资源进行包过滤而导致系统 SI 指数（软中断占用） 飙升，最终导致 SSH 断连或服务宕机。

Auto XDP 是一款利用 Linux 内核 eBPF/XDP 技术的高性能防火墙。它遵循 “最小暴露面” 安全原则，在网卡驱动层直接清洗流量，绕过复杂的网络协议栈，在极低的 CPU 占用下实现百万级的丢包处理。相比于现有防火墙，可在达到更高的丢包效率的同时有效减轻核心负载。

非常优雅～

• 极致性能 (High SI Efficiency)：在网卡层进行过滤，处理延迟仅为 40ns - 65ns。在遭遇高频攻击时，能将系统 SI 指数（软中断占用）从 85.9% 降至最低 3.0%，确保服务器在极端环境下依然响应如初。
• 最小暴露面控制 (Minimum Attack Surface)：基于“非放行即丢弃”的原则，仅针对系统当前活跃业务开放端口。
• 全自动端口同步：内置守护进程实时感知系统监听状态，自动实现“业务上线即开门，业务下线即关门”，无需手动维护繁琐的防火墙规则。
• 智能连接跟踪：利用状态检测识别合法的 TCP 响应包和 UDP 回包，确保正常业务流量不受影响。
• 高兼容性回退：若内核不支持 XDP，系统会自动回退至 nftables 后端，维持一致的自动化白名单逻辑。
• 多维度防护：内置 ICMP 令牌桶算法防止 Ping 洪水，并针对 SSH SYN 包进行频率限制，有效缓解暴力爆破风险。

在搬瓦工的虚拟机实例上，可以通过以下一键脚本进行部署：

curl --proto '=https' --tlsv1.2 -sSfL https://raw.githubusercontent.com/Kookiejarz/Auto_XDP/main/setup_xdp.sh | sudo bash

注意：在某些纯净版系统上，如果遇到编译错误（如缺少 gnu/stubs-32.h），请先安装开发环境支持：

Ubuntu/Debian: sudo apt-get install gcc-multilib

CentOS/Fedora: sudo dnf install glibc-devel.i686

部署完成后，可以使用内置的 bxdp 工具实时监控系统安全状态与 SI 指数：

实时统计（PPS/BPS 与 SI 趋势）：sudo axdp stats --live

手动触发端口同步：sudo axdp sync

查看服务状态与当前后端：sudo axdp status

Q: 为什么显示后端是 nftables 而不是 XDP？

A: 这通常是因为 VPS 的内核版本较低或网卡驱动不支持 XDP。脚本会自动切换到 nftables 模式以维持基本的 “最小暴露面” 自动化功能。

Q: 开启后会影响 SSH 吗？

A: 不会。系统会自动识别 SSH 监听端口（包括自定义端口）并将其动态加入白名单。

欲了解更多信息请前往：https://github.com/Kookiejarz/Auto_XDP'