开启 DDoS 防护后网站变慢,通常是因为流量经过清洗中心增加了链路延迟,或是防护策略过于严格拦截了正常请求,属于防护生效期间的常见现象,需区分是攻击清洗导致的暂时延迟还是配置不当导致的持续卡顿。
先说结论:多数情况是攻击流量清洗带来的正常损耗,若持续缓慢则需调整 CC 防护阈值或检查源站负载。
- 先判断:确认当前是否正在遭受攻击,查看带宽监控是否有异常峰值。
- 优先做:将管理后台 IP 加入白名单,避免被 CC 策略误拦截。
- 再验证:观察非攻击时段的访问速度,确认是否恢复至接入前水平。
链路诊断命令
本地连接数无法诊断高防链路延迟,建议使用 mtr 工具检测路由跳转情况:
mtr -rc 100 yourdomain.com若未安装 mtr,Linux 可使用 traceroute,Windows 使用 tracert。重点关注倒数第二跳(高防节点)到最后一跳(源站)的延迟损耗。若高防节点延迟正常但源站响应慢,需检查源站负载。
配置调整步骤
1. 确认攻击状态
登录云服务商控制台(如阿里云 DDoS 高防、腾讯云大禹),查看带宽统计信息。若看到某一个时间段突然有大量的异常流量拥堵,基本可确定是受到攻击,此时的延迟是清洗带来的代价。
2. 配置 IP 白名单
进入防护配置页面,找到“白名单”或“IP 信任列表”模块。将公司出口固定 IP 或管理后台 IP 添加进去,确保这些 IP 的请求不经过 CC 频率限制。
3. 调整 CC 防护策略
检查 Web 应用防火墙(WAF)或高防控制台的 CC 规则。若发现正常用户 IP 被频繁拦截,适当放宽频率限制,但需兼顾安全性。
验证方法
通过 curl 命令测试响应时间,获取详细耗时数据:
curl -o /dev/null -s -w "time_connect:%{time_connect}s\ntime_total:%{time_total}s\n" https://yourdomain.com观察 time_total 是否稳定。若高防开启了缓存,可检查 HTTP 响应头中是否携带 X-Cache 字段,命中缓存通常能减少源站压力。
常见坑与安全建议
1. 内部人员误封:公司内部频繁访问后台触发防护,严禁直接暴露源站 IP 绕过高防。建议通过 VPN 结合高防 IP 白名单访问后台,确保源站 IP 不泄露。
2. 特定环境访问异常:部分移动端应用或微信内访问,因内部访问机制与高防节点兼容性问题,可能出现偶尔无法打开,需单独调整防护策略。
3. 低流量缓存失效:高防节点的静态资源缓存通常有时间限制,若请求间隔过长,缓存失效会导致再次回源,低 QPS 场景下可能全是 MISS。
4. 参考文档:具体配置路径请参考各云厂商官方文档,界面可能随版本更新有所变化。