DDoS防护

nftables是Linux内核官方推荐的防火墙框架，其高效虚拟机指令集使流量过滤性能优于iptables，能精准控制IP地址、端口号及协议类型的进出流量。使用时主要风险在于误拦SSH等合法请求或与Docker冲突导致服务中断，解决方法是通过搬瓦工KiwiVM面板执行清空规则指令（sudo nft flush ruleset）而非全局清除，避免影响Docker规则。配置前必须验证root权限，非root用户需将账户加入sudo或wheel组以确保指令执行，否则将触发权限错误中断操作。

搬瓦工VPS遭遇DDoS攻击时会触发空路由机制，系统自动屏蔽IP达1800秒（30分钟），表现为全网失联且流量图表出现尖峰后断崖式归零。自救核心方案包括：立即接入Cloudflare代理模式隐藏真实IP，启用攻击模式及WAF规则过滤恶意流量；部署自动脚本（Bash或Go版）监测流量，当入站超50MB/s且出站低于入站40%时，连续确认3次后自动断网300秒实施黑洞防御；长期应通过快照功能迁移至新IP并建立双机备份体系，结合香港CN2 GIA等高防线路降低停机风险。