1.

第一步：资产与风险评估

- 清点资产：列出公网IP、游戏/应用端口、使用的云或机房提供商、带宽上限。
- 建立基线：收集正常时段的流量峰值（pps、bps、连接数），使用流量监控（Prometheus+node_exporter、netdata或sFlow/pmacct）。
- 风险分类：标记高风险入口（登录、匹配、语音通话），哪些服务需要低延迟优先保护。

2.

网络架构与冗余设计

- Anycast 与多区域部署：在东南亚多个机房或CDN节点部署相同服务，减少单点故障。
- 负载均衡：在边缘使用L4/L7负载均衡器（Nginx/TCP LB或云厂商LB），前置状态不敏感的过滤层。
- 冗余链路：与多个ISP互联，使用BGP跨ISP实现路由冗余与快速切换。

3.

边缘防护：CDN 与 DDoS 缓解服务

- 启用反向代理/CDN（如Cloudflare/Alibaba CDN/Akamai）：代理游戏/登录API，隐藏真实源IP。
- 使用托管DDoS缓解（Scrubbing centers）：当流量异常时，流量先导向清洗中心再回源。签订SLA并测试切换流程。
- 配置全局速率限制与地理访问控制，屏蔽明显异常源。

4.

主机层与内核级防护

- 启用SYN Cookies：sysctl -w net.ipv4.tcp_syncookies=1。
- 调整内核参数（示例）：sysctl -w net.ipv4.tcp_max_syn_backlog=4096 net.core.somaxconn=10240 net.ipv4.ip_local_port_range="1024 65535"。
- 使用iptables/nftables限速与连接限制，示例：iptables -A INPUT -p tcp --syn -m limit --limit 10/s --limit-burst 20 -j ACCEPT。

5.

应用层防护与限流设置

- Nginx限速示例：在http段增加 limit_conn_zone $binary_remote_addr zone=addr:10m; 在location中 limit_conn addr 10; limit_req_zone $binary_remote_addr zone=req:10m rate=5r/s; limit_req zone=req burst=10 nodelay;。
- 对需要鉴权的API使用Token/签名并对匿名请求限速。
- 对登录类接口启用验证码或延迟响应策略以降低自动化攻击效果。

6.

网络层黑洞与BGP协调

- 与ISP约定黑洞策略：当攻击超出处理能力时，启用前缀null-route暂时清除流量（只对被攻击子网）。
- BGP黑洞示例：通知上游将受影响前缀发布为社区并投递到黑洞路由，务必先测试并记录恢复步骤。
- 优先使用细粒度黑洞（只针对被攻击端口/前缀），避免无差别屏蔽正常玩家。

7.

自动化检测与报警机制

- 指标阈值：设置pps、bps、连接速率阈值（例如突变上涨3倍且持续5分钟触发）。
- 日志与流量采样：启用sFlow/IPFIX采样或tcpdump轮询，接入ELK/Graylog用于快速定位攻击源。
- 实现自动化脚本：当检测到阈值时自动调用Cloudflare API或触发iptables脚本执行临时限流。

8.

应急演练与响应流程（Playbook）

- 事件分级：定义P0/P1级别和响应时间、责任人。
- 演练步骤：检测→确认（抓包、流量分析）→临时缓解（限流、黑洞或切流到清洗）→通知ISP/供应商→逐步恢复并保留证据。
- 文档化：每次演练后记录时间线、措施效果与改进项，保持SOP可执行性。

9.

工具与示例命令集

- netstat/ss查看连接负载：ss -s; tcpdump抓包：tcpdump -i eth0 'tcp' -w attack.pcap。
- fail2ban规则示例：创建 jail.d/game.conf，检测异常连接并临时加入防火墙黑名单。
- 测试流量（仅在实验环境）：hping3 -S -p 12345 --flood <目标IP> 用于验证限流规则（请勿对生产无授权测试）。

10.

监控与持续优化

- 周期回顾：每月审查流量基线并调整阈值。
- 定期补丁与安全评估：操作系统、依赖库与网关必须及时更新，减少被利用的漏洞。
- 性能测试：在流量模拟环境中测试不同缓解策略对延迟和丢包的影响。

11.

与供应商与社区协作

- 与ISP签订紧急联络SLA并获取BGP操作联系方式及黑洞社区值。
- 选择有东南亚节点的CDN/清洗厂商以减少回源延迟。
- 加入运维和安全社区，分享与获取最新攻击情报。

12.

合规与保留证据

- 日志保留：保存攻击期间的流量采样、服务器日志与路由变更记录，便于法律与取证。
- 法律通报：在遭受严重攻击时，依据当地法律向ISP和执法机构报备并提供证据。

13.

Q1：我如何判断是否需要启用第三方DDoS清洗服务？

13.1 Q1回答：如果流量峰值超过自有带宽或边缘设备处理能力，且攻击频率/强度可能导致持续不可用，就应启用清洗服务；评估依据为历史流量基线、成本预算和业务可承受的最大停机时间。

14.

Q2：启用BGP黑洞会不会影响正常玩家？

14.1 Q2回答：若使用粗粒度黑洞（整段前缀）确实可能影响正常玩家，因此推荐先采用细粒度策略（只在被攻击端口或子网），并提前通知运维与客服以减少误伤。

15.

Q3：应急期间如何快速恢复到正常流量？

15.1 Q3回答：在确认攻击结束后，按预定回退流程逐步撤销限流/黑洞、恢复BGP路由并密切监控流量回升；提前测试回退脚本并保留回滚时间点与责任人可大幅缩短恢复时间。

来源：安全与防护建议确保东南亚第一人称服务器免受DDoS影响