网站被攻击后如何启用高防CDN？应急流程与流量清洗方法

1.

第一步：立即判断攻击类型与影响范围

1) 检查监控：查看流量监控（例如Grafana、Zabbix）中的1分钟与5分钟流量曲线，确认是否为短时峰值还是持续攻击。
2) 常见类型：网络层(UDP/TCP SYN/Flood)、传输层(ACK/PSH)、应用层(HTTP GET/POST泛洪)，以及混合型攻击。
3) 指标参考：例如CPU飙升、每秒新连接数(SYN/s)超过100万、带宽峰值超过100Gbps，应判断为大规模DDoS。
4) 源IP分布：导出最近15分钟的源IP分布，若前10个源IP占比低于5%，通常是分布式攻击。
5) 资产受影响度：列出受影响的域名、主机、端口（如80/443/22），评估是否需要立即切换至高防通道。

2.

第二步：快速启用高防CDN并切换流量路径

1) 切换方式：优先使用DNS CNAME或将域名解析指向高防提供商的Anycast IP；若TTL较大，考虑直接修改权威DNS或通过CDN提供商的解析加速接口。
2) 验证步骤：启用前将测试域名A/B测试指向高防，验证页面是否能通过高防节点正常回源。
3) 配置要点：开启HTTP/HTTPS代理、启用全站代理模式、强制HTTPS并启用证书托管。
4) WAF规则：立即启用默认WAF策略并打开速率限制、IP黑白名单和恶意UA拦截。
5) 回源与保持会话：为避免回源压垮主机，配置“回源限速”为500 Mbps或更低，并在CDN层开启缓存策略减少回源请求。

3.

第三步：分级应急流程与责任分工

1) 触发条件：流量>100Gbps或连接数持续异常即触发Ⅰ级应急。
2) 通知流程：运维组立即在15分钟内响应，安全组启动清洗规则，业务组评估降级方案并准备发布公告。
3) 分工细则：运维负责DNS与回源调整，安全负责WAF与清洗策略，网络负责BGP/路由与带宽调度。
4) 记录与回溯：全程记录变更（谁、何时、为何变更），方便事后复盘与法务取证。
5) 演练频率：建议每季度演练一次“高防启用+流量清洗”流程，确保各团队熟悉操作路径。

4.

第四步：流量清洗技术与具体规则示例

1) 网络层清洗：启用SYN Cookie、连接阈值(例如每秒新连接阈值100k)、黑洞阈值(超200Gbps时先全网劝退并切换至清洗中心)。
2) 应用层清洗：配置基于URI/Referer的速率限制（如相同IP每秒不超过5次请求），对疑似爬虫启用JS挑战或验证码。
3) 会话保护：对登陆、下单等关键接口开启更严格的保护（如同一IP并发会话限制为10）。
4) 地域封禁：根据攻击源分布，临时封禁高风险国家或区域流量，或只允许白名单国家访问管理后台端口。
5) 连接追踪：开启长连接超时检测，默认HTTP keep-alive超时设置为10秒，避免被长连接占用资源。

5.

第五步：真实案例：某电商平台遭受200Gbps攻击的处置

1) 背景：2024年双十一预热，一电商平台在UTC+8 02:00遭遇200Gbps UDP+SYN混合攻击，峰值并发连接约1200万。
2) 初步响应：监控报警后10分钟内将域名通过权威DNS切换至高防CDN，TTL原为300秒，改动生效约3分钟。
3) 清洗效果：高防CDN在清洗中心对流量做分流，使用SYN Cookie与深度包检测（DPI）将恶意流量剔除。
4) 结果数据：攻击峰值200Gbps，清洗后保留合法流量1.5Gbps，清洗率达到99.25%。
5) 经验总结：在高峰期应预先与CDN厂商签署应急通道并保持24小时支撑电话，以缩短切换时间。

6.

第六步：服务器与高防CDN的回源与配置建议（含示例）

1) 原始服务器配置示例：4核8线程CPU 3.0GHz、内存16GB、SSD 500GB、带宽500Mbps，操作系统CentOS 7，Nginx 1.20。
2) 推荐回源带宽：对于电商类流量，建议回源至少预留带宽为峰值正常流量的1.5倍，例如日常峰值300Mbps，则回源配置建议500Mbps。
3) keepalive与限速：Nginx建议worker_connections 10240，proxy_read_timeout 60，limit_req_zone $binary_remote_addr zone=one:10m rate=5r/s。
4) 安全配置：在主机端启用iptables/ufw规则，限速SYN队列，设置net.ipv4.tcp_syncookies=1，net.ipv4.tcp_max_syn_backlog=4096。
5) 负载均衡：建议使用至少2台回源主机（示例：origin1 8 vCPU/16GB/1Gbps，origin2 8 vCPU/16GB/1Gbps），并在高防CDN上配置健康检查与权重分配。

7.

第七步：事后复盘与长期防护建议

1) 日志分析：汇总CDN清洗日志、WAF拦截日志与服务器访问日志，分析攻击特征与可疑IP段。
2) 黑白名单维护：将确认的恶意IP/ASN加入长期黑名单，并将可信IP加入白名单以减少误判。
3) 策略优化：根据攻击类型调整WAF规则、速率阈值与缓存策略，避免短期内重复被同类攻击击中。
4) 合同保障：与高防CDN厂商签署SLA，包括异常流量响应时间、清洗能力（例如100Gbps/200Gbps/1Tbps档位）与赔偿条款。
5) 演练与培训：将应急流程写入Runbook，定期组织跨团队故障演练与攻防演习，提高实战处置能力。