搬瓦工 VPS 遭遇 DDoS 攻擊深度排障與自救手冊

面對搬瓦工 VPS 突然全網失聯且無法 Ping 通的情況，需要結合實際運維經驗，深入剖析 DDoS 攻擊下的空路由（Nullrouted）觸發機制，並建立一套從精準判定到徹底自救的實戰方案。

搬瓦工絕大多數套餐方案在設計上更偏向於提供高性能的底層架構，而非自帶硬件級 DDoS 防禦。這意味着當特定 IP 遭遇大規模惡意請求時，機房會採取自動化保護措施以確保整體鏈路的穩定。

• 空路由（Nullrouted）機制：當流量超過閾值，系統會將指向該 IP 的所有數據包丟棄，形成所謂的「黑洞」。此時網站無法打開、SSH 無法登陸、Ping 測試也會完全失效。
• 1800 秒封禁周期：觸發空路由後，默認的屏蔽時長通常為 1800 秒（30 分鐘）。如果封禁解除後攻擊仍在繼續，屏蔽時間會循環延長，導致服務器反覆失聯。

在排查網絡故障時，首先需要區分是軟件配置錯誤還是受到了流量攻擊。通過以下數據特徵可以快速鎖定故障性質。

1. 查看系統郵件通知 當 IP 觸發空路由時，系統會自動向註冊郵箱發送一封包含 is currently under a (D)DoS attack 的郵件，明確告知 IP 已被暫時屏蔽。

2. 分析流量特徵曲線

在排查過程中，通過圖形化的數據回饋能最直觀地捕捉攻擊痕跡。相比於命令行，KiwiVM 後台的統計圖表能更清晰地展現出入站流量的異常脈絡。

• 進入路徑：登錄 KiwiVM 管理後台，在左側 Security & Records 欄目下點擊 Detailed statistics 頁面。

• 觀察指標：在右側詳情頁中，重點觀察 Network I/O (Bits per second) 圖表。

• 黑洞特徵判定：

• 流量尖峰：如果圖表中出現如綠色陰影所示的垂直狀極高尖峰，說明該時段遭受了大規模入站流量衝擊。

• 斷崖式歸零：在尖峰之後，如果流量瞬間掉落並呈水平直線（接近 0 bps）持續延伸，說明 IP 已被系統自動放入黑洞（空路由）進行清洗。

3. 狀態矛盾核對 如果控制面板顯示服務器狀態為 Running 且未執行 重裝系統 或主動關閉服務，但外部一切連接手段均失效，基本可以判定為遭受了 DDoS 攻擊。

由於搬瓦工普通套餐無法提供高防線路，利用 Cloudflare 的全球節點接住流量是目前成本最低且效果最好的自救方式。

1. 接入與隱藏邏輯

通過將域名 DNS 託管至 Cloudflare 並點亮橙色雲朵圖標（代理模式），訪客的請求會先打到防護節點而非搬瓦工源站。這種方式能有效隱藏真實 IP，屏蔽掉大量的掃描與流量攻擊。

2. 防護策略加固

• 開啟攻擊模式：在攻擊期間開啟 Under Attack Mode，強制訪客進行 5 秒安全驗證。
• 防火牆規則 (WAF)：在後台針對異常頻率的請求或特定國家/地區設置攔截規則。
• 優化緩存設置：適當提高靜態資源的緩存比例，減少回源請求，減輕服務器的 CPU 與網絡壓力。

如果攻擊方持續對特定 IP 進行攻擊，即使配置了 Cloudflare，舊 IP 一旦解封仍可能被再次打進黑洞。此時，利用快照功能進行業務遷移是更為徹底的辦法。

數據遷移與環境恢復流程：

• 製作快照：在 KiwiVM 界面進入 Snapshots 頁面，為當前受攻擊的服務器做一個全量 備份。
• 快照還原與遷移：利用搬瓦工的快照功能，可以新建一台同配置的 VPS 並還原該鏡像。或者通過面板功能進行更換機房來獲取全新的 IP 地址。
• 解析同步更新：在獲取新 IP 後，只需在 Cloudflare 後台修改 A 记录，新 IP 會在幾秒鐘內生效，從而切斷舊 IP 的受攻擊鏈路。

防禦 DDoS 攻擊是一項長期工作。通過完善的預案體系和日常的加固措施，可以將潛在的停機風險降到最低。

安全預防建議：

• 雙機備份方案：建議準備一台速度快的線路（如 香港CN2 GIA 或 日本東京CN2 GIA）作為直連主力機，同時準備一台便宜的KVM常規套餐作為備份服務器。一旦主力機被黑洞，立即切換解析到備份機並開啟 Cloudflare 防禦。
• 系統加固與監控：日常運維中應當修改SSH端口，定期通過 Audit Log 觀察異常操作，並確保開啟了搬瓦工自動備份功能以應對極端情況。
• 資源合理分配：若業務量增長明顯，建議及時升級套餐。如果 IP 已被打殘無法解封，可諮詢搬瓦工客服關於購買IP的具體事宜或申請 退款。

注意事項

• 當 IP 處於空路由狀態時，所有的 SSH 工具（如 Xshell、Xftp）均無法連接，請耐心等待 1800 秒解封。
• 若服務器因 CPU 占用過高被暫停（Suspended），處理流程會有所不同。請務必確認失聯原因屬於流量攻擊而非資源超載。