发现 VPS 流量突增，先别急着重启，第一步是区分业务高峰还是异常攻击，建议结合流量监控工具与系统资源指标综合判断。

监控工具安装与准备

多数 VPS 默认未安装流量分析工具，需手动安装。请根据系统类型选择对应命令：

# Ubuntu/Debian 系统
sudo apt update
sudo apt install nethogs iftop -y

# CentOS/RHEL 系统
sudo yum install nethogs iftop -y
# 若 yum 源无 iftop，可尝试安装 epel 源
sudo yum install epel-release -y
sudo yum install iftop -y

命令速用版

通过 SSH 登录后，需使用 sudo 权限执行以下命令快速定位问题：

# 查看实时流量占用的进程（按带宽排序）
sudo nethogs

# 查看网络连接状态及对应进程
sudo ss -antp | grep ESTABLISHED | wc -l

# 查看实时流量拓扑（需按 P 键显示端口）
sudo iftop -P

# 查看 CPU 占用最高的进程
sudo top -c

恶意流量特征识别

在工具界面中，需重点关注以下异常特征：

• nethogs：发现非业务进程（如随机字符命名）占用带宽极高，或未知进程持续向外发送数据。
• iftop：看到单个陌生 IP 占用带宽超过 80%，且端口非常用业务端口（如高位随机端口）。
• 方向判断：入站（in）突增多为 DDoS 攻击，出站（out）突增多为服务器被控对外发包。

分步处理与防护

1. 确认流量方向与来源
使用 iftop 或 nethogs 查看是入站多还是出站多。检查是否有特定 IP 大量连接，可配合 ss 命令统计连接数。

2. 排查异常进程
使用 top 命令按 CPU 或内存排序，查找随机字符命名的进程或伪装成系统服务的异常进程。部分安全指南指出，可疑进程常伪装为内核线程或常见服务，需仔细核对进程路径。

3. 检查系统日志与连接
查看/var/log/secure 或/var/log/auth.log 是否有异常登录尝试。检查 crontab 任务是否有可疑定时脚本。若发现异常外联端口（如非常用高位端口或已知恶意端口），应记录 IP 并封锁。

4. 实施临时防护（含封禁命令）
在云控制台配置安全组规则，限制非业务必需端口。若确认为 DDoS，可启用云厂商提供的流量清洗服务。对于被控服务器，建议先断网备份数据后重装系统。

若需在系统内部紧急封禁 IP，可使用以下命令（注意先核对白名单）：

# 使用 iptables 封禁可疑 IP
sudo iptables -A INPUT -s 可疑 IP 地址 -j DROP

# 使用 ufw 封禁可疑 IP
sudo ufw deny from 可疑 IP 地址

# 封禁后保存规则（CentOS）
sudo service iptables save

⚠️ 重要警告：执行封禁前，务必确认该 IP 不是 CDN 节点、搜索引擎爬虫或合作伙伴白名单 IP，否则会导致正常用户无法访问。

怎么验证是否生效

执行防护后，再次运行 iftop 或 nethogs，观察带宽占用是否下降至正常基线。使用 top 检查 CPU 和内存负载是否回落。尝试从外部访问业务端口，确认正常用户未被防火墙误拦截。若部署了入侵检测系统，查看是否仍有持续警报生成。

常见坑

一是误杀正常业务，封禁 IP 时未区分攻击源与 CDN 节点或搜索引擎爬虫；二是忽略出站流量，只关注入站攻击而遗漏服务器被控外发数据；三是过度依赖单一指标，如仅看带宽而忽略 CPU 或连接数异常。部分资料提到建立基于机器学习的流量基线模型能降低误报率，但普通用户建议先基于历史手动基线设定阈值。