美国vps cn2防御案例解析常见攻击类型与快速应对流程

- 说明：本文针对在美国机房、使用CN2线路的VPS遭遇大流量或应用层攻击时的快速处置流程与实操命令。
- 目标：快速恢复可用性、最小化业务中断、定位攻击来源并做后续防护。

- SYN/UDP/ICMP泛洪：网络层带宽与连接耗尽。
- 应用层HTTP洪水：请求看似正常但量大，导致nginx/Apache CPU/内存耗尽。
- SSH/FTP暴力破解：大量登录尝试导致认证失败和资源消耗。
- 放大攻击（NTP/DNS）：源地址伪造、大量回包。

1) 登录VPS控制台（若SSH不可用用主机商Web控制台）。
2) 查看实时网络流量：sudo iftop -i eth0 或 sudo nload eth0。
3) 查看连接情况：sudo ss -tanp | head -n 50 或 netstat -anp | grep ESTAB。
4) 若流量异常高，立即临时启用流量限制或丢弃策略（见第6步）。

- 捕获流量样本：sudo tcpdump -nn -s 96 -c 200 -w /tmp/attack.pcap。
- 统计源IP：sudo tcpdump -nn -r /tmp/attack.pcap | awk '{print $3}' | cut -d. -f1-4 | sort | uniq -c | sort -nr | head。
- 查看系统负载与进程：top 或 htop；查看占用端口进程：sudo lsof -i :80 或 sudo ss -lptn。

- 阻断单IP：sudo iptables -I INPUT -s 1.2.3.4 -j DROP。
- 阻断IP段：sudo iptables -I INPUT -s 203.0.113.0/24 -j DROP。
- 使用conntrack清除大量连接：sudo apt-get install -y conntrack && sudo conntrack -D -s 1.2.3.4。
- 若机器支持nftables：sudo nft add rule inet filter input ip saddr 1.2.3.4 drop。

- 本机限速示例（缩小TCP流量到100Mbps）：sudo tc qdisc add dev eth0 root handle 1: htb default 12; sudo tc class add dev eth0 parent 1: classid 1:1 htb rate 100mbit。
- 黑洞（如果可用向上游提出）：联系机房/骨干提供商进行BGP黑洞或流量清洗（提供目标IP和时间窗口）。

- 启用限速：nginx中加入 limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s；在location中使用 limit_req zone=one burst=20。
- 静态资源使用缓存和CDN（Cloudflare/阿里云CDN）疏导流量。
- 动态请求加入验证码或WAF策略，启用mod_security或使用云WAF。

- 修改默认端口并禁用密码登录：编辑 /etc/ssh/sshd_config，设置 Port 2222，PasswordAuthentication no，重启 sudo systemctl restart sshd。
- 安装fail2ban：sudo apt install -y fail2ban，创建 /etc/fail2ban/jail.local 针对sshd与nginx限制登录/请求频率。
- 使用公钥认证并限制允许登录用户（AllowUsers user）。

- 保存tcpdump文件和系统日志（/var/log/syslog, /var/log/nginx/access.log）。
- 使用工具分析：tshark、Bro/Zeek 分析pcap；统计可疑IP并导出为blocklist。
- 提供给上游或安全厂商：包括时间戳、目标IP、pcap样本、攻击类型描述。

- 恢复步骤：1) 逐步放宽临时规则并观察；2) 将已确认攻击IP加入黑名单并写入防火墙配置；3) 配置长期WAF和CDN；4) 建立监控告警（Prometheus+Alertmanager或云监控）。
- 常态化：定期更新系统、开启自动化备份、编写应急脚本（封IP、收集日志）。

答：本地防护（iptables、tc、限速）能在短时间缓解小规模攻击，但当攻击带宽超过VPS/机房上行或影响同一机房资源时，必须联系上游运营商或使用云清洗/CDN进行清洗与BGP黑洞，单机难以长期承受大流量。

答：查看 iftop/nload 的总带宽与 ss/netstat 的连接数。带宽高且多数为UDP/ICMP通常为网络层；带宽不大但大量TCP短连接或大量HTTP 200请求且CPU飙升通常为应用层。结合tcpdump抓包可进一步确认。

答：可以用一段bash脚本从pcap或日志中提取高频IP并批量加入iptables，例如：sudo awk '{print $1}' /var/log/nginx/access.log | sort | uniq -c | sort -nr | head -n 200 | awk '{print $2}' | xargs -I{} sudo iptables -I INPUT -s {} -j DROP。生产环境请先审核并限速执行以防误伤。