搬瓦工 VPS 進階網絡安全方案：從基礎加固升級到高性能自動化防禦

在維護 VPS 時，傳統的防火牆（如 iptables 或 nftables）在面對大規模網絡攻擊時，往往會因為消耗大量 CPU 資源進行包過濾而導致系統 SI 指數（軟中斷占用）飆升，最終導致 SSH 斷連或服務宕機。

Auto XDP 是一款利用 Linux 內核 eBPF/XDP 技術的高性能防火牆。它遵循「最小暴露面」安全原則，在網卡驅動層直接清洗流量，繞過複雜的網絡協議棧，在極低的 CPU 占用下實現百萬級的丟包處理。相比於現有防火牆，可在達到更高的丟包效率的同時有效減輕核心負載。

非常優雅～

極致性能 (High SI Efficiency)：在網卡層進行過濾，處理延遲僅為 40ns - 65ns。在遭遇高頻攻擊時，能將系統 SI 指數（軟中斷占用）從 85.9% 降至最低 3.0%，確保伺服器在極端環境下依然響應如初。
最小暴露面控制 (Minimum Attack Surface)：基於「非放行即丟棄」的原則，僅針對系統當前活躍業務開放埠。
全自動埠同步：內置守護進程實時感知系統監聽狀態，自動實現「業務上線即開門，業務下線即關門」，無需手動維護繁瑣的防火牆規則。
智能連接跟蹤：利用狀態檢測識別合法的 TCP 響應包和 UDP 回包，確保正常業務流量不受影響。
高兼容性回退：若內核不支持 XDP，系統會自動回退至 nftables 後端，維持一致的自動化白名單邏輯。
多維度防護：內置 ICMP 令牌桶算法防止 Ping 洪水，並針對 SSH SYN 包進行頻率限制，有效緩解暴力爆破風險。

在搬瓦工的虛擬機實例上，可以通過以下一鍵腳本進行部署：

curl --proto '=https' --tlsv1.2 -sSfL https://raw.githubusercontent.com/Kookiejarz/Auto_XDP/main/setup_xdp.sh | sudo bash

注意：在某些純淨版系統上，如果遇到編譯錯誤（如缺少 gnu/stubs-32.h），請先安裝開發環境支持：

Ubuntu/Debian: sudo apt-get install gcc-multilib

CentOS/Fedora: sudo dnf install glibc-devel.i686

部署完成後，可以使用內置的 bxdp 工具實時監控系統安全狀態與 SI 指數：

實時統計（PPS/BPS 與 SI 趨勢）：sudo bxdp stats --live

手動觸發埠同步：sudo bxdp sync

查看服務狀態與當前後端：sudo bxdp status

Q: 為什麼顯示後端是 nftables 而不是 XDP？

A: 這通常是因為 VPS 的內核版本較低或網卡驅動不支持 XDP。腳本會自動切換到 nftables 模式以維持基本的「最小暴露面」自動化功能。

Q: 開啟後會影響 SSH 嗎？

A: 不會。系統會自動識別 SSH 監聽埠（包括自定義埠）並將其動態加入白名單。