搬瓦工 VPS 遭遇 DDoS 攻击深度排障与自救手册

面对搬瓦工 VPS 突然全网失联且无法 Ping 通的情况，需要结合实际运维经验，深入剖析 DDoS 攻击下的空路由（Nullrouted）触发机制，并建立一套从精准判定到彻底自救的实战方案。

搬瓦工绝大多数套餐方案在设计上更偏向于提供高性能的底层架构，而非自带硬件级 DDoS 防御。这意味着当特定 IP 遭遇大规模恶意请求时，机房会采取自动化保护措施以确保整体链路的稳定。

• 空路由（Nullrouted）机制：当流量超过阈值，系统会将指向该 IP 的所有数据包丢弃，形成所谓的“黑洞”。此时网站无法打开、SSH 无法登陆、Ping 测试也会完全失效。
• 1800 秒封禁周期：触发空路由后，默认的屏蔽时长通常为 1800 秒（30 分钟）。如果封禁解除后攻击仍在继续，屏蔽时间会循环延长，导致服务器反复失联。

在排查网络故障时，首先需要区分是软件配置错误还是受到了流量攻击。通过以下数据特征可以快速锁定故障性质。

1. 查看系统邮件通知 当 IP 触发空路由时，系统会自动向注册邮箱发送一封包含 is currently under a (D)DoS attack 的邮件，明确告知 IP 已被暂时屏蔽。

2. 分析流量特征曲线

在排查过程中，通过图形化的数据回馈能最直观地捕捉攻击痕迹。相比于命令行，KiwiVM 后台的统计图表能更清晰地展现出入站流量的异常脉络。

• 进入路径：登录 KiwiVM 管理后台，在左侧 Security & Records 栏目下点击 Detailed statistics 页面。

• 观察指标：在右侧详情页中，重点观察 Network I/O (Bits per second) 图表。

• 黑洞特征判定：

• 流量尖峰：如果图表中出现如绿色阴影所示的垂直状极高尖峰，说明该时段遭受了大规模入站流量冲击。

• 断崖式归零：在尖峰之后，如果流量瞬间掉落并呈水平直线（接近 0 bps）持续延伸，说明 IP 已被系统自动放入黑洞（空路由）进行清洗。

3. 状态矛盾核对 如果控制面板显示服务器状态为 Running 且未执行 重装系统 或主动关闭服务，但外部一切连接手段均失效，基本可以判定为遭受了 DDoS 攻击。

由于搬瓦工普通套餐无法提供高防线路，利用 Cloudflare 的全球节点接住流量是目前成本最低且效果最好的自救方式。

1. 接入与隐藏逻辑

通过将域名 DNS 托管至 Cloudflare 并点亮橙色云朵图标（代理模式），访客的请求会先打到防护节点而非搬瓦工源站。这种方式能有效隐藏真实 IP，屏蔽掉大量的扫描与流量攻击。

2. 防护策略加固

• 开启攻击模式：在攻击期间开启 Under Attack Mode，强制访客进行 5 秒安全验证。
• 防火墙规则 (WAF)：在后台针对异常频率的请求或特定国家/地区设置拦截规则。
• 优化缓存设置：适当提高静态资源的缓存比例，减少回源请求，减轻服务器的 CPU 与网络压力。

如果攻击方持续对特定 IP 进行攻击，即使配置了 Cloudflare，旧 IP 一旦解封仍可能被再次打进黑洞。此时，利用快照功能进行业务迁移是更为彻底的办法。

数据迁移与环境恢复流程：

• 制作快照：在 KiwiVM 界面进入 Snapshots 页面，为当前受攻击的服务器做一个全量 备份。
• 快照还原与迁移：利用搬瓦工的快照功能，可以新建一台同配置的 VPS 并还原该镜像。或者通过面板功能进行更换机房来获取全新的 IP 地址。
• 解析同步更新：在获取新 IP 后，只需在 Cloudflare 后台修改 A 记录，新 IP 会在几秒钟内生效，从而切断旧 IP 的受攻击链路。

防御 DDoS 攻击是一项长期工作。通过完善的预案体系和日常的加固措施，可以将潜在的停机风险降到最低。

安全预防建议：

• 双机备份方案：建议准备一台速度快的线路（如 香港CN2 GIA 或 日本东京CN2 GIA）作为直连主力机，同时准备一台便宜的KVM常规套餐作为备份服务器。一旦主力机被黑洞，立即切换解析到备份机并开启 Cloudflare 防御。
• 系统加固与监控：日常运维中应当修改SSH端口，定期通过 Audit Log 观察异常操作，并确保开启了搬瓦工自动备份功能以应对极端情况。
• 资源合理分配：若业务量增长明显，建议及时升级套餐。如果 IP 已被打残无法解封，可咨询搬瓦工客服关于购买IP的具体事宜或申请 退款。

注意事项

• 当 IP 处于空路由状态时，所有的 SSH 工具（如 Xshell、Xftp）均无法连接，请耐心等待 1800 秒解封。
• 若服务器因 CPU 占用过高被暂停（Suspended），处理流程会有所不同。请务必确认失联原因属于流量攻击而非资源超载。