网站遭遇 DDoS 攻击时,最直接的恢复方式是将域名解析切换到服务商提供的高防 CNAME 或高防 IP 地址,前提是已提前接入或能即时开通防护服务。
先说结论:切换高防 IP 本质是流量清洗路径的变更,操作重点在于 DNS 生效速度和源站隐蔽性。
- 先判断:确认攻击类型是流量型还是资源型,避免误切高防导致成本浪费。
- 优先做:在 DNS 服务商处修改解析记录,将 A 记录改为高防 IP 或 CNAME 记录指向高防域名。
- 再验证:通过多地 DNS 查询确认解析生效,并检查源站日志是否还有异常直连。
切换前的关键准备
1. 预降低 DNS TTL 值
DNS 生效时间取决于 TTL 设置。建议在业务正常期间将域名解析的 TTL 值调整为最低(如 60 秒或 10 分钟),以便紧急切换时能快速生效。
操作路径示例:
- 阿里云 DNS:域名解析 -> 解析设置 -> 修改记录 -> TTL 选择 60 秒。
- 腾讯云 DNS:域名管理 -> 解析记录 -> 修改 -> TTL 选择 60 秒。
紧急切换实操步骤
1. 获取高防接入信息
登录防护服务商控制台,找到已购买的高防实例。
- 阿里云:DDoS 高防 IP 控制台 -> 实例管理 -> 查看 CNAME 或高防 IP。
- 腾讯云:DDoS 防护 -> 高防包/高防 IP -> 详情 -> 获取绑定信息。
2. 修改 DNS 解析
进入域名 DNS 管理后台,根据高防提供的接入方式修改记录:
- 若高防提供 IP:将原有 A 记录值修改为高防 IP 地址。
- 若高防提供 CNAME:添加 CNAME 记录指向高防域名,或修改原有 A 记录为 CNAME 记录(注意部分 DNS 服务商不支持根域名 CNAME)。
3. 源站安全加固
切换后必须限制源站只接受高防回源流量,防止攻击者绕过直接攻击源站 IP。
方案 A:云安全组(推荐,开销小)
在云服务器控制台安全组中,入方向仅放行高防回源 IP 段,拒绝其他所有 TCP 80/443 请求。
方案 B:iptables 防火墙(需谨慎)
若无法使用安全组,可在服务器内部配置。注意攻击期间操作防火墙可能消耗 CPU,建议在攻击间隙操作。
示例命令(请替换实际 IP 段):
iptables -A INPUT -s 高防回源 IP 段 -p tcp `--dport` 80 -j ACCEPT
iptables -A INPUT -p tcp `--dport` 80 -j DROP
获取回源 IP 段方法:查阅服务商官方文档(如阿里云高防回源网段文档)或通过 API 获取。
怎么验证是否生效
1. DNS 解析验证
使用 dig 或 nslookup 命令检查域名解析是否指向高防 IP。
dig 你的域名
查看 ANSWER SECTION 中的 IP 地址是否与高防 IP 一致。
2. 源站日志检查
查看 Web 服务器访问日志(如 Nginx access.log)。
确认请求的 Remote IP 是否变为高防回源 IP 段,而不是各地的真实用户 IP 或攻击源 IP。
3. 业务访问测试
在不同网络环境下访问网站,确认页面加载正常,且没有触发源站防火墙拦截。
常见坑与风险
1. DNS 缓存导致切换慢
若未提前降低 TTL,部分地区用户可能长时间解析到旧 IP。紧急情况下可联系 DNS 服务商尝试强制刷新,但不可完全依赖。
2. 源站 IP 泄露
如果攻击者之前已经获取了源站真实 IP,单纯切换高防可能无效,攻击者会绕过直接打源站。此时必须更换源站 IP 并配合高防白名单。
3. HTTPS 证书配置
使用高防 CNAME 接入时,确保高防节点上已正确部署 SSL 证书,否则用户访问会报证书错误。
4. 成本问题
高防服务通常按防护峰值或带宽计费,切换后若攻击持续,可能会产生较高费用,需关注控制台账单预警。