一、攻击确认与紧急止损

1. 确认攻击类型

   • DDoS攻击：流量突增（带宽占满）、服务不可用但服务器未崩溃。

   • CC攻击：CPU/内存飙升（大量HTTP请求占用资源）。

   • 暴力破解：日志中大量失败登录记录（SSH/RDP）。

   • Web漏洞利用：异常进程、文件篡改或数据库异常（如勒索、挖矿程序）。

2. 立即止损操作

   • 更换高防服务器：

     • 选购花屿云的高防服务器

   • 临时封堵攻击流量：

     • 在安全组中限制源 IP（如仅允许可信 IP 访问关键端口）。

     • 对 Web 攻击，通过 WAF（Web应用防火墙，如宝塔WAF 雷池WAF）拦截恶意请求。

   • 关闭非必要服务：

     • 暂停暴露的高风险端口（如 MySQL 3306、Redis 6379）。

     • 禁用临时开放的测试接口或调试端口。

二、攻击流量缓解方案

1. 使用 CDN 隐藏真实 IP

   • 原理：将域名解析到 CDN 节点，流量经 CDN 清洗后回源，隐藏服务器真实 IP。

   • 操作步骤：

     • 购买花屿云的CDN产品，在控制台添加域名并配置源站 IP。

     • 修改域名 DNS 解析至 CDN 提供的 CNAME。

     • 启用 CDN 的“DDoS防护”和“CC防护”功能（如 Cloudflare 的 Under Attack Mode）。

2. 更换服务器公网 IP

   • 适用场景：针对单个 IP 的持续攻击（如 UDP 洪水、TCP SYN 洪水）。

   • 操作方式：

     • 免费更换：部分厂商支持释放 EIP 后重新分配（注意：可能导致短暂服务中断）。

     • 付费更换：提交工单申请免费/付费更换 IP。

   • 风险提示：更换 IP 后需同步更新 DNS、CDN 回源地址及安全组规则。

   • 高防 IP：将业务流量牵引至高防节点清洗（支持 TB 级防护，需修改业务 IP 指向高防）。

三、系统安全加固

1. 阻断攻击入口

   • 封禁恶意 IP：

     • 通过安全组/防火墙批量封禁攻击 IP 段（如 iptables -A INPUT -s 1.2.3.0/24 -j DROP）。

     • 使用 Fail2Ban 自动封禁暴力破解 IP（配置参考）：

       bash

       复制

       # 安装 Fail2Ban
       apt install fail2ban -y
       # 配置 SSH 防护规则（/etc/fail2ban/jail.local）
       [sshd]
       enabled = true
       maxretry = 3
       bantime = 3600

   • 关闭 ICMP 响应（降低被扫描风险）：

     bash

     复制

     # Linux
     echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
     # Windows：通过防火墙禁用“文件和打印机共享（回显请求）”。

2. 服务层防护

   • WAF 服务：

   •  

     • 配置 Nginx/Apache 限速（如限制单 IP 每秒请求数）。

     • 启用验证码或人机验证（针对 CC 攻击）。

     • 使用宝塔或雷池waf

   • 数据库服务：

     • 限制远程访问 IP（仅允许内网或管理端 IP）。

     • 修改默认端口并禁用空密码登录。

3. 系统漏洞修复

   • 更新补丁：

     bash

     复制

     # Linux
     apt update && apt upgrade -y   # Debian/Ubuntu
     yum update -y                 # CentOS
     # Windows：启用自动更新或手动安装最新补丁。

   • 关闭高危服务：

     • 禁用 Telnet、FTP 明文协议，改用 SFTP/SSH。

     • 卸载未使用的软件（如旧版 PHP、Apache）。

四、事后分析与溯源

1. 日志收集与取证

   • 关键日志路径：

     • Linux：/var/log/auth.log（登录日志）、/var/log/nginx/access.log（Web 访问日志）。

     • Windows：事件查看器 → 安全日志（事件 ID 4625 为登录失败）。

   • 工具分析：

     • 使用 awk/grep 提取攻击 IP：

       bash

       复制

       grep "Failed password" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr

     • 使用 ELK（Elasticsearch、Logstash、Kibana）搭建日志分析平台。

2. 提交攻击证据

   • 向花屿云提交攻击流量截图、日志片段，申请技术支持或法律协助。

   • 向警方报案：保留攻击 IP、时间、日志等证据，配合网监部门调查。

五、长期防御策略

1. 架构优化

   • 业务分离：将数据库、缓存服务部署在内网，仅暴露必要端口。

   • 负载均衡 + 多可用区：通过 SLB 分发流量，结合多可用区实例避免单点故障。

2. 主动监控与告警

   • 自定义脚本：

     • 监控关键进程存活状态：

       bash

       复制

       # 检查 nginx 是否运行
       if ! pgrep -x "nginx" > /dev/null; then
           systemctl start nginx
           echo "Nginx restarted" | mail -s "Alert" admin@example.com
       fi

    

3. 定期渗透测试

   • 使用工具（如 Nessus、Nmap）扫描开放端口与漏洞。

   • 雇佣白帽子团队进行业务安全审计。

六、法律与保险措施

1. 购买网络安全保险：覆盖 DDoS 攻击导致的业务损失与应急成本。

2. 合规备案：根据《网络安全法》完成等保备案（二级以上系统需强制测评）。

总结

攻击处理优先级：

1. 快速止损（启用高防/CDN/封IP） → 2. 修复漏洞（更新/配置加固） → 3. 日志溯源（定位攻击源） → 4. 长期防御（架构优化+监控）。

核心原则：

• 隐藏真实 IP（CDN/高防/IP更换）是防扫描的关键。

• 最小化暴露面（仅开放必要端口）可降低被攻击概率。

• 自动化防御（Fail2Ban/WAF）能大幅减少人工干预成本。