服务器被DDoS攻击后，如何恢复正常运行？

当服务器被DDoS攻击后，恢复正常运行的步骤如下：

1. 紧急应对措施

• 启动应急响应：立即召集技术团队，按预定的应急方案行动，并通知服务提供商（如云服务商）协助处理。使用专业DDoS防护服务（如Cloudflare、AWS Shield）或高防IP，通过流量清洗过滤恶意流量。

• 调整网络配置：限制特定端口访问，设置速率限制（如每IP每秒请求数），启用防火墙规则（如iptables）阻止可疑IP。使用负载均衡分散流量，结合CDN（如Cloudflare）缓存静态资源，减轻源服务器压力。

• 增强服务器性能：临时升级带宽，确保服务器资源充足，关闭非核心服务以降低负载。

2. 恢复运行的步骤

• 检查服务器状态：确认服务器的CPU、内存、磁盘I/O是否恢复正常。使用工具（Linux：top、htop、vmstat；Windows：任务管理器>性能）查看。确认网络带宽是否被释放。查看当前连接是否仍有恶意流量（netstat -an | grep ESTABLISHED）。

• 清理僵尸连接：清除被攻击时遗留的半开连接或无效连接（tcpkill -i eth0 host <攻击IP>），或直接重启网络服务（systemctl restart networking）。

• 恢复业务服务：启动核心服务，逐步恢复Web服务、数据库和其他应用服务，确保服务正常运行。检查日志，确认恢复后是否仍有恶意流量或攻击尝试。

• 更新DNS缓存<tiangong type="reference" index="9-7">：如果更换了服务器IP或启用了CDN，可能需要等待DNS缓存刷新。使用dig <域名>命令检查解析情况，确保用户访问的IP地址已经更新</tiangong>。

3. 长期防护措施

• 部署Web应用防火墙（WAF）：过滤恶意请求（如SQL注入、跨站脚本），限制每秒访问次数。推荐服务：Cloudflare WAF、阿里云WAF、AWS WAF、木准企业高防服务器。

• 改善网络架构：科学评估业务架构性能，部署弹性伸缩（Auto Scaling），优化DNS解析，提供余量带宽，服务器安全加固，提升服务器自身的连接数等性能，做好业务监控和应急响应，选择合适的商业安全方案（如Web应用防火墙（WAF）、DDoS原生防护、DDoS高级防护）。