手把手配置服务器DDoS攻击防护:从云盾到宝塔联动
为什么你的服务器需要DDoS攻击防护
无论你的站点是中小型业务还是个人博客,只要暴露在公网,随时可能遭遇DDoS攻击。
攻击者会耗尽带宽或服务器资源,导致网站彻底瘫痪。提前配置多层防护是唯一靠谱的办法,本文从零演示如何用阿里云盾+宝塔面板实现低成本防护。
前置准备:你需要哪些条件
在动手之前,确认以下三项已经就绪:
- 一台运行中的服务器(示例使用阿里云ECS,CentOS 7.9)。
- 已安装宝塔面板(7.9.0以上版本)。
- 一个备案过的域名(用于配置CDN或高防)。
- 如果预算允许,提前购买阿里云DDoS原生防护(企业版)或高防IP服务。
没有高防服务也能做基础防护,但清洗能力有限,建议至少开启云盾的免费版。
核心步骤:四层防护搭建
1. 开启云盾DDoS原生防护(免费版)
登录阿里云控制台,搜索“DDoS原生防护”,进入实例管理。
点击“创建防护策略”,选择“IP -> 防护模板”为“中等防护”。
关键配置点:
- 清洗阈值:设为“自动”,让云盾根据流量动态调整。
- 协议封禁:勾选“UDP”、“ICMP”和“GRE”。
- 黑白名单:将你的CDN节点IP加入白名单,避免误封。
配置完成后,系统会自动保护ECS的公网IP。
可通过云盾的“攻击分析”查看实时日志。
2. 宝塔面板防火墙与流量规则
登录宝塔后台,依次进入【安全】->【防火墙】。
点击“添加规则”:
- 端口范围:如果只提供Web服务,只放行80和443。其他端口一律拒绝。
- 来源IP:可以暂时设置为“全部”,但后期建议只开放特定IP段。
然后打开【系统】->【系统加固】->【连接频率限制】,设置每秒最大连接数(例如500),超出后自动封禁IP。
如果需要更精细的限制,可以修改Nginx配置。
打开网站设置 -> “配置文件”,在 server 块内添加以下内容:
limit_conn_zone $binary_remote_addr zone=conn_limit:10m;
limit_req_zone $binary_remote_addr zone=req_limit:10m rate=5r/s;然后在 location 块中加入:
limit_conn conn_limit 10;
limit_req zone=req_limit burst=10 nodelay;保存后重载Nginx即可生效。
3. 配置CDN隐藏真实IP
使用CDN(如CloudFlare或阿里云CDN)是隐藏源站IP最有效的手段。
在CDN控制台添加域名,解析到CDN的CNAME。注意:源站IP必须设置为服务器公网IP,且CDN开启“源站保护”功能。
同时关闭服务器上其他所有非CDN回源的IP访问(通过防火墙只允许CDN节点IP段)。
获取CDN节点IP列表的方法:宝塔面板 -> 安全 -> 地区/IP拦截,填入CDN官方提供的IP段,允许通过。
4. 应用层流量清洗(WAF)
如果业务允许,在宝塔面板安装【Nginx防火墙】插件(付费版),开启“SQL注入”、“XSS”、“CC攻击”防护。
将“CC攻击阀值”设置为100次/秒,超出后自动封禁60分钟。
同时开启“恶意UA拦截”和“爬虫过滤”,减少垃圾流量。
高频问题与避坑指南
Q1:高防服务需要买多大带宽?
按业务预估峰值。新手可用5Gbps起步,后续根据攻击统计升级。不要贪图便宜买低配,被攻击时超限会直接黑洞。
Q2:为什么宝塔限速后正常用户也打不开?
因为速率设置太严格。建议先用“rate=10r/s”测试,再根据业务日志逐步调整。
Q3:攻击从CDN绕过怎么办?
检查是否开启了WebSocket代理或直连源站。一定要在服务器安全组中只放行CDN回源IP,其他IP统统拒绝。
Q4:云盾的“黑洞”是什么意思?
当攻击流量超过购买的防护阈值时,阿里云会暂时封禁你的公网IP(黑洞状态),持续30分钟到2小时。唯一办法是升级高防套餐。
效果验证:如何确认防护生效
- 模拟攻击:使用阿里云提供的“攻击模拟工具”(仅限于授权的测试账号)发起5Mbps的UDP flood。
- 登录云盾控制台查看“攻击分析”,在事件记录中应能看到“清洗中”状态。
- 在宝塔面板【安全】->【防火墙】->【实时日志】中,观察是否有被拦截的异常IP记录。
- 正常访问网站:用手机浏览器加载首页,响应时间应无明显变化。如果页面加载缓慢,检查是否误封了CDN节点。
完成以上步骤后,你的服务器已经有了基础的多层DDoS攻击防护能力。
后续建议每周检查一次云盾日志和宝塔防火墙拦截记录,根据攻击趋势调整阈值。
遇到大流量攻击时,不要犹豫,直接升级高防或启用临时CDN。
如果你在配置过程中遇到问题,可以查阅阿里云官方文档或宝塔论坛。
