最直接的恢复方式是通过云厂商控制台的“远程连接”（VNC 或 Workbench）登录服务器，找到占用带宽的进程并停止，因为控制台通道不依赖公网带宽。

命令速用版

# 安装流量分析工具（若网络尚可）
yum install -y iftop nethogs
# 或
apt-get update && apt-get install -y iftop nethogs

# 查看实时带宽占用（需 root）
iftop -P -n

# 查看进程级带宽占用
nethogs

# 查看网络连接数最多的进程
netstat -ant | awk '{print $6}' | sort | uniq -c | sort -nr

# 强制停止可疑进程
kill -9 <PID>

为什么会这样

SSH 连接依赖 TCP 协议，需要双向握手和数据包确认。当服务器公网带宽被占满（例如达到 100% 使用率），出站或入站的数据队列会堵塞，SSH 的确认包无法及时发送或接收，导致客户端认为连接超时。

云控制台的“远程连接”或 VNC 功能通常走的是云厂商内部管理网络，不经过你购买的公网带宽接口，所以即使公网堵死，依然能通过网页控制台登录系统内部进行操作。

分步处理

1. 通过云控制台登录

登录云厂商网页控制台，找到实例详情页，点击“远程连接”、“VNC 登录”或“Workbench”。输入系统用户名和密码。如果忘记密码，先在控制台重置实例密码并重启（若重启后带宽立即再次打满，说明是开机自启服务问题）。

2. 定位高带宽进程

登录后，优先使用 iftop 查看哪个 IP 在占用带宽。如果是对外攻击或异常下载，会看到特定外部 IP 流量极大。若需查看是哪个进程在发包，使用 nethogs。

如果无法安装新工具，使用系统自带命令排查：

# 查看建立连接最多的进程关联
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr

# 查看进程打开的文件句柄和连接
ls -l /proc/<PID>/fd | grep socket

3. 停止异常服务

确认进程后，先尝试正常停止服务（如 systemctl stop nginx）。若无效或进程僵死，使用 kill -9 <PID> 强制结束。若是被入侵的恶意进程，建议同时检查定时任务 crontab -l 和开机启动项，防止复活。

4. 临时限制带宽（可选）

若无法立即找到根源，可使用 tc 命令限制非关键流量，或直接在云控制台调整安全组，暂时只放行 SSH 端口（22），阻断其他所有入站流量，以便争取处理时间。

怎么验证是否生效

1. 控制台监控

回到云厂商控制台的实例监控页，观察“公网带宽”使用率曲线。若曲线从峰值回落至正常水平（如 10% 以下），说明占用已解除。

2. SSH 连接测试

在本地终端执行 ssh -v user@ip，观察是否能完成握手进入登录提示符。若依然卡顿，检查本地网络或云安全组是否误封。

3. 进程状态

在服务器内再次运行 iftop 或 top，确认可疑进程不再存在或流量已消失。

常见坑

1. 盲目重启实例

重启可以暂时恢复，但如果恶意进程或配置错误存在于开机自启项中，重启后带宽会立刻再次打满，导致你再次失联。务必在控制台登录后排查自启项。

2. 误杀系统进程

使用 kill -9 前务必确认进程名。系统更新服务（如 yum-updatesd 或 unattended-upgrades）也可能短暂占用带宽，误杀可能导致系统更新损坏。

3. 忽略 DDoS 攻击

如果监控显示入站流量极大且来自全球各地，可能是 DDoS 攻击。此时杀死进程无效，应在云控制台开启 DDoS 防护或将 IP 切换至高防实例，必要时联系云厂商客服。

4. 安装工具超时

带宽打满时，yum install 或 apt-get 可能因超时而失败。建议先上传静态编译好的二进制工具，或优先使用系统自带命令排查。