1. 概述与准备工作

1) 准备项：登录信息、控制面板（云平台）、SSH 密钥或密码、备份计划。
2) 检查网络：在本地终端执行 ping 与 traceroute（或 mtr）到 VPS，命令示例：ping -c 6 your.ip; traceroute -n your.ip 或 mtr -rw your.ip。记录丢包与延迟峰值。
3) 性能测试工具：安装 iperf3（apt/yum install iperf3）、tcpdump、htop、iftop、vnstat，用于后续诊断。

2. 如何确认是否启用了云端高防（供应商层面）

1) 登录云控制台查看「DDoS 防护」或「高防」服务是否已购买并绑定到实例或 IP。
2) 通过发送大流量测试前先咨询客服，千万不要直接发起攻击性测试；使用云厂商提供的压力测试工具或沙箱。
3) 如发现流量被清洗，向厂商索取清洗日志与时间段，用于分析攻击向量。

3. 基本防火墙与端口管理（操作步骤）

1) 使用 ufw/csF/iptables 管理端口：首先列出规则：iptables -L -n -v。
2) 最小化开放端口：例如只保留 22（或改端口）、80、443、指定应用端口。示例 iptables 添加规则：iptables -A INPUT -p tcp --dport 443 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT。
3) 加入白名单：如果有固定管理 IP，加入白名单后再限制其他流量。

4. 系统 TCP/内核参数优化（具体配置步骤）

1) 编辑 /etc/sysctl.conf，加入或修改以下行：
net.core.somaxconn=65535
net.core.netdev_max_backlog=5000
net.ipv4.tcp_fin_timeout=15
net.ipv4.tcp_tw_reuse=1
net.ipv4.tcp_max_syn_backlog=8192
net.ipv4.tcp_max_tw_buckets=5000
2) 保存后执行 sysctl -p 应用。
3) 若为高并发 web 服务，推荐启用 BBR：检查内核版本（uname -r），若支持执行：echo "net.core.default_qdisc=fq" >> /etc/sysctl.conf; echo "net.ipv4.tcp_congestion_control=bbr" >> /etc/sysctl.conf; sysctl -p。确认：sysctl net.ipv4.tcp_congestion_control && lsmod | grep bbr。

5. 日志、监控与告警配置（实践步骤）

1) 部署监控工具：推荐使用 Prometheus + node_exporter 或 Zabbix。安装 node_exporter：wget && tar；启动并加入 systemd。
2) 配置流量告警：监控网络入流量、丢包率、连接数。设置阈值（例如 1 分钟内入流量超 200Mbps 或 SYN 半连接超 10000）触发短信/钉钉告警。
3) 定期查看 /var/log/messages、nginx/access.log、nginx/error.log，结合 tcpdump 保存异常包样本（tcpdump -i eth0 -w dump.pcap port 80 或 host x.x.x.x）。

6. 高可用与故障切换（Keepalived + HAProxy 实操）

1) 使用两台或多台后端实例配合 Keepalived 实现 VIP 切换。安装 keepalived：apt/yum install keepalived。
2) keepalived 示例配置（/etc/keepalived/keepalived.conf）中设置 VRRP 实例、虚拟 IP、priority 与 health check。
3) 在前端使用 HAProxy 做七层或四层负载，配置健康检查，bind 到虚拟 IP。测试故障切换：停掉主节点的 haproxy，观察 VIP 自动漂移到备节点。

7. 问：当遇到突发大流量攻击时第一步应该做什么？

答：第一步立即启用云厂商的高防清洗和黑白名单策略；在实例上立刻限制非必要端口，修改管理端口并将管理 IP 加入白名单；在控制台发起流量封堵规则或请求厂商人工介入。同时启动监控与抓包保存样本便于事后分析。

8. 问：如何判断是应用层攻击（HTTP Flood）还是网络层攻击（SYN/UDP Flood）？

答：观察监控项：如果连接数（ESTABLISHED）极高并伴随大量 HTTP GET 请求且每个请求带有异常 user-agent 或 referer，则多为应用层攻击；若接口出现大量 SYN 半连接或 UDP 流量且无法建立会话，多为网络层攻击。可结合 tcpdump 抓包并用 Wireshark / tshark 分析包类型。

9. 问：有哪些常用的长期优化建议能降低被攻击面和提高稳定性？

答：长期建议包括：使用 CDN/边缘缓存降低源站流量；最小化开放端口并启用严格防火墙策略；启用连接速率限制（nginx limit_conn、limit_req）；使用自动化监控与告警；定期更新系统与应用补丁；将关键服务放在后端，通过负载均衡与健康检查实现平滑切换；与云厂商协商固定清洗带宽与紧急响应流程。

来源：台湾vps cn2 高防云空间常见问题与优化操作手册