海外 VPS 遭 DDoS 攻击后，最有效的清洗配置是联系服务商启用机房级防护或切换高防 IP，本地软件清洗仅能应对极小规模流量。

命令速用版

若攻击规模较小且未导致网络中断，可使用以下命令临时封禁异常 IP 或端口，但需注意本地防火墙会消耗 CPU 资源。

# 查看当前连接数最多的 IP
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr | head -n 10

# 使用 iptables 丢弃特定 IP 的所有流量
iptables -I INPUT -s 攻击者 IP -j DROP

# 丢弃特定端口的 SYN 包（需谨慎，可能影响业务）
iptables -A INPUT -p tcp `--syn` `--dport` 目标端口 -j DROP

为什么会这样

VPS 实例通常缺乏硬件级清洗能力，大流量攻击会直接打满带宽或耗尽连接表。

海外三网直连线路虽然优化了路由，但带宽资源依然宝贵。DDoS 攻击通过发送大量无效请求占满入口带宽，导致正常流量无法进入。本地软件清洗需要 CPU 逐个处理数据包，在大规模攻击下会导致服务器负载过高甚至宕机，因此必须依赖机房上游的硬件清洗设备。

分步处理

按顺序执行以下步骤，优先保障业务可用性，再考虑流量清洗。

步骤 1：确认攻击状态
登录 VPS 管理面板查看流量监控图，确认入站流量是否出现异常尖峰。若网络已完全中断，无法 SSH 登录，则直接进入步骤 2。

步骤 2：联系服务商
向 IDC 服务商提交工单，说明遭受 DDoS 攻击，询问是否可开启免费或付费的流量清洗服务。部分服务商提供临时黑洞解封或切换高防 IP 选项。

步骤 3：接入 CDN 或高防中转
若服务商无法提供有效防护，将域名解析切换至带有 DDoS 防护能力的 CDN 服务，隐藏源站 IP。确保 CDN 配置仅允许 CDN 节点 IP 访问源站。

步骤 4：本地防火墙加固
在系统层面配置防火墙，限制单个 IP 的连接频率。例如使用 iptables 或 firewalld 设置连接数阈值，防止 CC 攻击耗尽资源。

怎么验证是否生效

通过流量监控工具和系统负载指标确认清洗效果。

检查流量图：在 VPS 管理面板观察入站带宽曲线，攻击峰值应明显下降或趋于平稳。

检查系统负载：使用 top 或 htop 命令查看 CPU 和内存使用率，确认是否因处理恶意流量而满载。

检查网络连接：使用 netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}' 查看 TCP 连接状态，TIME_WAIT 或 SYN_RECV 状态应减少。

常见坑

本地清洗策略使用不当可能导致业务不可用或服务器性能下降。

误区 1：依赖本地脚本清洗大流量
当攻击流量超过 VPS 带宽上限时，本地脚本无法接收数据包，配置无效且会增加 CPU 负担。

误区 2：误封正常用户 IP
过于严格的频率限制可能将正常访问的用户列入黑名单，需设置合理的白名单机制。

误区 3：忽略 IP 黑洞期
若 IP 已被服务商黑洞（Blackhole），通常需等待数小时至 24 小时自动解封，期间更换 IP 可能无效。

常见问题

VPS 自身能完全清洗 DDoS 攻击吗？

不能，VPS 自身资源有限，仅能应对极小规模攻击，大流量必须依赖上游防护。

IP 被黑洞后多久能恢复？

取决于服务商政策，通常为数小时至 24 小时，具体需查看服务商服务条款。

接入 CDN 后还需要配置本地防火墙吗？

需要，CDN 可能无法过滤所有应用层攻击，本地防火墙可作为第二道防线。