服務器被攻擊，第一反應千萬別急著換IP。恒訊科技處理過不少客戶的這類問題，有差不多一半根本不是IP被封的情況，換了IP也沒用。先花兩分鐘判斷是哪種故障，再對癥處理。

先判斷攻擊類型

流量型攻擊（L3/L4，SYN Flood/UDP Flood）：帶寬被打滿，服務器無法連接。用Itdog做全球Ping，國外節點全部超時，說明是流量型攻擊或機房觸發了黑洞路由。

應用層攻擊（L7/CC攻擊）：模擬正常HTTP請求消耗服務器計算資源。Ping延遲正常但網頁訪問極慢，CPU飆升，這是CC攻擊的典型表現。

緊急處理三步

第一步，聯系IDC服務商如恒訊科技，確認機房是否已觸發黑洞路由。黑洞狀態下IP所有流量被丟棄，需要等機房解封或申請換IP，自己操作什么都沒用。恒訊科技有7×24小時中文技術支持，這種緊急情況直接打電話比提工單快。

第二步，接入Cloudflare CDN，把DNS解析指向Cloudflare節點，隱藏源站IP。有兩個地方容易做錯：必須開啟代理模式（橙色云朵圖標，不是灰色），只添加DNS記錄但沒開代理，源站IP還是暴露的；另外檢查郵件服務器MX記錄和所有子域名，不能直接指向服務器真實IP。

第三步，如果源站IP已經暴露，攻擊方直接打源站IP繞過CDN，換IP后立即更新DNS記錄，舊IP不要繼續用。

三種防御方案對比

權威數據參考

阿里云DDoS高防全球防護網絡總帶寬超過20Tbps，非中國內地防護帶寬超5Tbps。騰訊云清洗成功率達99.995%。高防服務器代表商家：Sharktech（鯊魚機房），2003年成立，美國，默認60Gbps防御，最高1Tbps，支持支付寶。

預防比處理更重要

在Nginx或安全組里對單IP的并發連接數和請求頻率設合理閾值，能過濾掉大部分初級CC攻擊。Cloudflare里開"I'm Under Attack"模式，所有訪客增加JS驗證，有效阻斷自動化攻擊流量。

DDoS攻擊通常不破壞數據，但如果攻擊同時伴隨入侵，定期異地備份是保住數據的最后手段，這兩件事要分開考慮。