Hetzner 服务器本身不提供应用层 CC 攻击防护插件,防止 CC 攻击需要在操作系统层面安装防火墙软件(如 CSF)或配置 Web 服务器(如 Nginx)限速,严重时必须接入带防护的 CDN 或 WAF 服务。
先说结论:Hetzner 仅提供基础设施,CC 防御需用户自行部署主机防火墙、Web 层限速或云端防护。
- 先判断:确认是流量型 DDoS 还是应用层 CC,前者需高防 IP,后者可尝试主机防护。
- 优先做:安装 CSF 防火墙或配置 Nginx limit_req 模块拦截高频请求。
- 再验证:观察服务器 CPU 负载及 Web 日志,确认恶意 IP 是否被阻断。
快速处理思路
若攻击正在发生,优先接入 CDN 隐藏源站 IP,避免 Hetzner 因滥用投诉封禁服务器。
# 临时查看当前连接数
netstat -ant | grep :80 | wc -l为什么会这样
CC 攻击通过模拟正常用户请求消耗服务器 CPU 或数据库资源,而非单纯堵塞带宽。
传统防火墙难以区分恶意请求与正常流量,因此需要应用层规则(如频率限制、人机验证)来识别异常行为。
分步处理
1. 安装主机防火墙(适合小规模攻击)
在 Linux 系统安装 CSF 防火墙,开启连接跟踪功能。
yum install perl-libwww-perl perl iptables
wget http://www.configserver.com/free/csf.tgz
tar -xzf csf.tgz
cd csf
sh install.sh修改配置文件 /etc/csf/csf.conf,调整 LF_TRIGGER 等参数免疫小规模 DDoS。
2. 配置 Nginx 限速(适合 Web 业务)
使用 limit_req_zone 限制单 IP 请求频率。
http {
limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s;
server {
location / {
limit_req zone=one burst=5 nodelay;
}
}
}3. 接入 CDN 或 WAF(适合中大型攻击)
将域名解析至 CDN 节点,利用边缘节点过滤恶意流量,隐藏源站真实 IP。
选择带有 CC 防御功能的 CDN 服务,开启人机验证挑战。
怎么验证是否生效
检查 Web 访问日志中是否出现大量 403 或 503 状态码,确认攻击 IP 被拦截。
监控服务器 CPU 使用率,若攻击期间 CPU 未跑满且网站可访问,说明防护生效。
常见坑
- 源站 IP 泄露:若未隐藏真实 IP,攻击者可直接绕过 CDN 攻击源站。
- 误封正常用户:限速阈值设置过低可能导致正常爬虫或用户无法访问。
- 滥用政策:Hetzner 对涉及攻击的服务器处理严格,勿尝试反向攻击攻击者。
常见问题
Hetzner 自带免费 CC 防护吗?
不自带,Hetzner 仅提供网络连通性,应用层防护需用户自行配置。
安装什么插件最有效?
主机层推荐 CSF 防火墙,Web 层推荐 Nginx 限速模块,业务层推荐接入 WAF。
防护会影响网站速度吗?
合理的限速配置不影响正常用户,但开启人机验证会增加用户访问步骤。
参考来源
- 服务器被 CC 攻击了怎么办,教你两招预防 CC 攻击
- Nginx 防护 CC 攻击实战:限速限连接配置与调优指南
- 如何预防 CC 攻击和 DDOS 攻击?
- 服务器安全之如何防护 CC 攻击