1.
概述:为什么菲律宾VPS要重视原生IP安全
说明背景:菲律宾VPS由于地理位置、ISP路由策略,原生IP更容易被直连扫描和DDoS盯上。影响范围:网站可用性、商业损失与信誉受损可在数小时内发生。
关键点:原生IP、未加CDN的服务、开放端口和弱认证是高风险组合。
目标读者:运维工程师、主机租用方、网站管理员与安全人员。
本文方法:从内核参数、包过滤、应用限流到上游清洗逐步给出可复制命令与配置示例。
2.
准备工作与VPS示例硬件/网络信息
示例VPS(用于后续所有配置举例):- 提供商:菲律宾本地IDC(样例)
- 配置:4 vCPU / 8GB RAM / 200GB NVMe / 带宽:1Gbps 未计流量
- 原生公网IP:203.177.128.45(仅示例)
- 操作系统:Ubuntu 20.04 LTS,内核 5.4.x
前置操作:保证可以通过控制面板紧急关机/重装并备份关键数据。
运维账户:启用非root sudo 账号并禁用密码root登录(/etc/ssh/sshd_config PermitRootLogin no)。
3.
系统级内核与网络参数调整(sysctl 示例)
目标:提升并发连接能力,开启SYN Cookies,缩短连接超时时间。示例sysctl配置(写入 /etc/sysctl.d/99-net.conf):
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_fin_timeout = 15
net.ipv4.tcp_tw_reuse = 1
net.ipv4.ip_local_port_range = 10240 65535
net.core.somaxconn = 10240
说明:应用命令 sysctl -p /etc/sysctl.d/99-net.conf。
监测命令:ss -s、netstat -anp、cat /proc/net/sockstat。
4.
包过滤与连接限制:iptables 实战规则
目标:在内核层尽早丢弃异常流量,节省应用资源。示例基础链(适用于 iptables):
iptables -F
iptables -P INPUT DROP
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m connlimit --connlimit-above 5 -j REJECT --reject-with tcp-reset
iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 200 -j REJECT
限速示例(每秒请求):iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/sec --limit-burst 100 -j ACCEPT
补充:使用 nftables 可获得更高性能,规则语法可类似迁移。
5.
应用层防护:Nginx、limit_req 与 Fail2Ban 配置
Nginx 限流示例(写入 http {} 区块):limit_req_zone $binary_remote_addr zone=req_zone:10m rate=10r/s;
server { location / { limit_req zone=req_zone burst=20 nodelay; } }
Fail2Ban 简单 jail 示例(/etc/fail2ban/jail.local):
[sshd] enabled = true port = ssh filter = sshd maxretry = 3 bantime = 600
结合 ModSecurity/WAF 规则可针对应用层攻击(SQLi、XSS 等)。
日志监控:使用 goaccess/nginx logs 与实时报警(Prometheus + Alertmanager)。
6.
DDoS 实操流程与上游清洗策略
第一步:本机先启用内核与iptables临时规则快速缓解。第二步:统计并识别攻击类型(UDP Flood/ SYN/ HTTPS L7)使用 tcpdump / tshark / ntop。
第三步:若超出本地承载,联系上游(ISP)请求 nullroute 或 BGP 黑洞。
第四步:考虑使用 CDN/Anycast(Cloudflare、Fastly)做全站流量吸收与缓存。
第五步:必要时购买带清洗能力的上游(清洗带宽示例:10Gbps 清洗池)。
7.
数据对比表:实施前后指标示例(攻击场景:UDP Flood)
| 指标 | 攻击高峰(未防护) | 启用本地规则后 | 上游清洗后 |
|---|---|---|---|
| 入站带宽 | 600 Mbps | 400 Mbps | < 50 Mbps |
| 每秒数据包 PPS | 1,200,000 pps | 450,000 pps | < 20,000 pps |
| CPU 负载 (load avg) | > 15 | 6–8 | 1–2 |
| 可用连接数 | 接近饱和 | 恢复部分 | 正常 |
8.
真实案例:菲律宾某电商站点被DDoS的处置记录
背景:某电商促销期被UDP+SYN混合攻击,原生IP为示例 203.177.128.45。初始影响:带宽瞬时占用达 720 Mbps,PPS 超过 1.3M,Nginx 响应超时。
采取措施:1) 立即启用 sysctl 与 iptables 限流规则;2) 在 20 分钟内联系上游请求 blackholing 及清洗通道;3) 将静态资源切入 CDN。
配置片段:iptables -A INPUT -p udp -m limit --limit 1000/sec -j ACCEPT;sysctl 已开启 tcp_syncookies=1。
结果:30 分钟内带宽降至 <50 Mbps,PPS 降至 <25k,业务恢复,后续将域名全部放到 CDN 并保留原生 IP 作管理用。
9.
结论与检查清单(运维可执行项)
1) 立即备份并确认可以快速重装/救援。2) 部署内核级优化 sysctl 与防火墙基础规则。
3) 在应用层启用 Nginx 限流、Fail2Ban 与 WAF。
4) 与菲律宾/国际上游签订紧急清洗或BGP Flowspec 支持协议。
5) 将高价值流量引导到 CDN/Anycast,并仅对管理流量保留原生IP。
附加建议:制定故障演练(SOP),并在低流量时测试黑洞/清洗流程的触发与恢复时间。
