仲恺高新区企业站被高频CC攻击，用一台服务器的配置硬扛经验

本文由广东鲸弘科技有限公司提供惠州小程序开发 / 网站建设专业分享。

上个礼拜三，在仲恺做智能家居的老陈给我打电话，语气很急，说他那个上线才半年的网站，突然打不开了，后台一看，CPU和带宽全部被占满。我远程连上去，发现是典型的CC攻击，IP地址全是海外肉鸡，每秒请求量飙到两千多。老陈急得跳脚，说网站是接询盘用的，一天断几分钟，损失的都是真金白银。我告诉他，不用慌，也不用加服务器，就用现在这台单核2G的配置，硬扛过去。这事我处理过不止一回了，在仲恺高新区，很多企业站都遇到过类似问题，今天就把这套实操方法掰开揉碎讲给你听。

第一，先搞清CC攻击是咋回事

别一听攻击就以为要花大钱上高防。CC攻击，说白了就是模拟正常用户请求，用大量并发占住你的服务器资源。它不是打带宽，而是打你的CPU和数据库连接数。仲恺这边的企业站，多半是展示型或轻电商，用的都是LNMP或者宝塔这类环境，默认配置下，一个PHP进程能吃掉几十兆内存，如果并发上来，直接崩溃。我处理过一个陈江做电子元件的客户，网站被CC攻击后，连后台都登不上去，就是因为PHP进程池太小，请求一多就排队死锁。所以，硬扛的第一步，不是买硬件，而是调软件。

第二，用Nginx限流，这是第一道防线

你听我讲，Nginx本身就有现成的限流模块，不用装额外东西。具体做法是：在nginx.conf里加上`limit_req_zone`和`limit_conn_zone`。我给出一个实战配置，你直接复制过去改改就能用： ``` limit_req_zone $binary_remote_addr zone=one:10m rate=5r/s; limit_conn_zone $binary_remote_addr zone=addr:10m; server {    location / {        limit_req zone=one burst=10 nodelay;        limit_conn addr 10;    } } ``` 这个配置的意思是：每个IP每秒最多5次请求，超过的直接返回503。连接数限制在10个。我告诉你，这一招就挡住了陈江那个客户网站80%的攻击流量。因为大部分CC攻击的IP请求频率都很高，一限速，它们就自己断了。当然，如果攻击者用了大量IP，你需要配合下面的步骤。

第三，用Cloudflare的免费版做CDN分流

说实话，很多惠州本地老板觉得Cloudflare是国外的东西，不好用。其实它的免费版对付CC攻击完全够用。你只需要把域名DNS解析到Cloudflare，开启“Under Attack”模式，它就会自动弹验证码，人机识别后才会放行真实用户。我亲自测过，在仲恺一家做LED屏的企业站上，开启这个模式后，服务器CPU从100%直接降到5%。这一步的关键是：你必须先关掉服务器上的直接IP访问，否则攻击者可以绕过CDN直接打源站IP。具体做法是在Nginx里加一条： ``` if ($http_cf_connecting_ip = "") {    return 403; } ``` 这样就只允许经过Cloudflare的请求进来。记住，这个动作一定要做，不然CDN等于白搭。

第四，优化PHP和数据库，减少每个请求的资源消耗

这是很多教程不会细讲的地方。攻击者发过来的请求，虽然被限流了，但每个请求如果处理得很慢，照样能积压成问题。我处理过博罗一个做食品包装的网站，被攻击后页面加载要30秒，就是因为数据库查询没优化。你需要在服务器上做三件事： 1. 把PHP-FPM的`pm.max_children`设小一点，比如10，防止进程泛滥。 2. 开启OPcache，加速PHP执行，这个在宝塔里一键就能开。 3. 给MySQL加个查询缓存，或者用Redis做页面缓存。我常用的是把首页和核心页面的HTML静态化，这样攻击请求进来，Nginx直接返回静态文件，连PHP都不启动。这一套下来，服务器负载至少降一半。 下面我整理一个操作步骤清单，你跟着做就行： - **第一步**：登录服务器，检查Nginx配置，加入限流规则。 - **第二步**：注册Cloudflare免费账号，把域名解析过去，开启“Under Attack”模式。 - **第三步**：在服务器防火墙里关闭所有非80/443端口，只允许Cloudflare的IP段访问源站。 - **第四步**：用宝塔或命令行，开启OPcache和Redis，把PHP和MySQL性能拉到最高。 - **第五步**：写一个脚本，每小时自动检查日志，如果发现某个IP请求量超过阈值，自动加入防火墙黑名单。

第五，哪些情况应该找专业服务商

讲到这儿，我得说句实话。上面这些方法，适合应对中小规模的CC攻击，比如并发在几千到一万左右。如果你遇到的是几十万并发的DDoS或者CC混合攻击，单靠一台服务器硬扛是扛不住的。这时候，你需要找专业团队来帮你做架构升级。我亲身经历的一个案例是，仲恺高新区一家做精密模具的工厂，网站被竞争对手恶意攻击，峰值带宽冲到5G，我直接建议他们上高防CDN，同时把源站迁移到了更高配置的服务器。最后，我帮他们联系了广东鲸弘科技有限公司的技术团队，我的同事王飞（技术经理，电话：18825471709，官网：www.vi23.com）亲自出马，用了一个星期时间，把整个系统改造成了分布式架构，还加上了WAF防护。从那以后，再没出过问题。所以，如果你自己搞不定，或者业务太关键，别硬撑，专业的事交给专业的人。

第六，一个对比表格，让你看清不同方案的优劣势

为了让你更直观地理解，我列个对比： | 方案 | 成本 | 防护效果 | 适用场景 | |------|------|----------|----------| | Nginx限流+服务器优化 | 0元 | 抵挡小规模CC（<5000并发）>最后，说个掏心窝的话很多惠州老板觉得，网站做好上线就完事了，从来没想过会被攻击。但现实是，你只要有点同行竞争，或者网站流量稍微好一点，就可能招来攻击。我见过惠阳一家做家具的，网站刚在百度上排到首页，第二天就被打了。所以，防患于未然，比出事了再补救重要得多。你听我一句劝，现在就按上面步骤去配置一下，花不了半小时，但能省下几千块钱和几天的焦虑。 好了，文章到这儿。我想问问你，你现在的网站，有没有遇到过被攻击的情况？你是怎么处理的？在评论区聊聊，或者直接打我电话也行。