暴风雨前的宁静

想象一下，黑色星期五或者某个大促活动。你用 PHP 搭建的电商平台正在迎接前所未有的流量，订单源源不断，用户热情高涨，PHP 应用拼尽全力在扛。然后——啪——网站突然崩了。

你查日志，到底怎么了？流量确实飙了，但这次不是因为用户太多，而是一次 DDoS（分布式拒绝服务）攻击。

DDoS 攻击就像一场人造洪水，用大量伪造的请求把你的服务器淹掉。但具体到一个 PHP 应用，被打的时候到底发生了什么？怎么判断自己是不是正在被攻击？更重要的是——怎么防？

这篇文章会带你搞清楚 PHP 应用遭遇 DDoS 时的全过程：从识别攻击到保护你的应用不被打趴。

什么是 DDoS 攻击

DDoS 攻击有点像互联网上的交通堵塞。想象你要进一家热门店铺，结果突然冒出成百上千个"假顾客"堵在门口，真正的顾客根本挤不进去。店铺（你的 PHP 应用）被挤爆了，最终只能关门。

用技术语言说，DDoS 攻击是攻击者（或僵尸网络）向目标网站发送海量流量，耗尽其资源。目的很简单：让网站变慢或者直接打瘫。

对 PHP 应用来说，攻击会冲击以下几个环节：

• Web 服务器：PHP 需要处理每一个请求，短时间内涌入大量请求会耗尽服务器资源。
• 数据库：过多的查询会拖慢甚至打崩数据库。
• 带宽：流量太大会吃满网络带宽，导致整体性能下降。

DDoS 攻击如何影响你的 PHP 应用

PHP 应用被 DDoS 打中时，背后发生了这些事情：

Web 服务器负载飙升

用户发起请求后，Web 服务器（比如 Apache 或 Nginx）会运行 PHP 脚本、查数据库、返回动态内容。正常情况下这没什么问题，但当成千上万（甚至上百万）的请求同时涌入，服务器很快就扛不住了。

• CPU 打满：PHP 需要处理每个请求，大量请求会让 CPU 使用率直接拉满。
• 内存吃紧：PHP 应用通常会在内存中保存会话数据或缓存，请求太多会导致内存耗尽，轻则变慢，重则崩溃。

数据库过载

PHP 应用通常依赖数据库来获取和展示动态内容。一个典型的请求可能涉及查库存、处理登录、渲染页面等操作。DDoS 攻击时，每个请求都可能触发开销很大的数据库查询，结果就是：

• 数据库瓶颈：数据库扛不住这种量级的负载，查询开始变慢、超时甚至直接失败。
• 响应迟钝：数据库服务器变得无响应，内容分发被严重延迟。

带宽打满

每个 DDoS 请求都会消耗带宽。当恶意流量大到一定程度，会把你的网络带宽全部吃掉，真实用户的请求根本进不来。

• 连接数上限：网络连接被打满后，正常用户访问你的网站要么极慢，要么完全打不开。

PHP 脚本超时

PHP 脚本的执行时间是有上限的。服务器被大量请求淹没时，PHP 脚本可能来不及在规定时间内跑完，结果就是：

• 500 错误：服务器因资源耗尽无法处理请求。
• 连接超时：PHP 脚本执行时间过长，连接直接断掉。

如何判断你的 PHP 应用正在被 DDoS

及时识别 DDoS 攻击至关重要。以下是一些关键的技术指标：

流量突然飙升

流量在短时间内暴涨——尤其来源异常（比如来自不常见的地区或 IP 段）——就要警惕了。可以查看服务器日志来排查异常流量模式。

用 Apache 或 Nginx 日志检查是否有大量请求来自同一个 IP 或一批可疑地址：

# Apache：检查访问日志中的 IP 请求频次
cat /var/log/apache2/access.log | awk '{print $1}' | sort | uniq -c | sort -n

性能下降和超时

如果网站突然变慢或者频繁出现超时错误，可能就是 DDoS 在搞鬼。PHP 脚本处理不过来涌入的请求，开始报 500 错误或者超时。

资源占用异常

如果服务器的 CPU 和内存使用率突然飙高，说明 PHP 正在苦苦支撑。可以用 htop 或 top 实时监控资源使用情况：

# 实时监控 CPU 和内存使用情况
top -d 1

如果 CPU 或内存长时间处于高位，就该进一步排查了。

PHP 应用的 DDoS 防护策略

完全杜绝 DDoS 攻击很难，但有不少手段可以大幅降低其影响。下面是一些保护 PHP 应用的实用方案。

限流：第一道防线

限流就是限制每个用户在一段时间内能发起的请求数量。方法简单但很有效，能挡住大部分机器人和恶意请求。

用 Redis 实现限流

可以用 Redis 追踪每个用户的请求次数，超过阈值就拒绝：

$redis = new Redis();
$redis->connect('localhost', 6379);
$ip = $_SERVER['REMOTE_ADDR'];
$key = "request_count:{$ip}";
$limit = 100;  // Max requests per minute
$window = 60;  // 1 minute time window
$request_count = $redis->get($key);
if ($request_count && $request_count >= $limit) {
    // Too many requests, reject the user
    header('HTTP/1.1 429 Too Many Requests');
    exit('Rate limit exceeded');
}
$redis->incr($key);
$redis->expire($key, $window);  // Reset the count after 1 minute

这个基础限流方案可以有效节流那些试图用大量请求淹没你服务器的用户或机器人。

CDN：分流恶意流量

CDN（内容分发网络）会缓存静态资源（图片、CSS、JavaScript），通过分布在全球的边缘节点提供服务。DDoS 攻击时，CDN 可以吸收大量流量，让你的 PHP 服务器专心处理动态请求（比如用户登录、订单处理）。

通过 CDN 分发静态资源

<!-- 通过 CDN 提供静态资源 -->
<link rel="stylesheet" href="https://cdn.yoursite.com/styles.css">
<script src="https://cdn.yoursite.com/app.js"></script>
<img src="https://cdn.yoursite.com/images/product.jpg" alt="Product">

把静态资源交给 CDN，既能减轻 PHP 应用的负载，也能让 DDoS 流量更难直接打到你的应用核心。

WAF：应用层防护

WAF（Web 应用防火墙）是一种高级工具，专门检查和过滤发往 PHP 应用的 HTTP 流量。WAF 可以根据预设规则检测并拦截恶意请求，比如封禁可疑 IP 或屏蔽特定地区的流量。

以 AWS WAF 为例

1. 创建 Web ACL（访问控制列表），定义流量过滤规则。
2. 添加规则来拦截 HTTP 洪水攻击、SQL 注入、IP 信誉过滤等。

aws wafv2 create-web-acl --name "MyWAF" --scope "REGIONAL" --default-action "ALLOW" --rules ...

配置完成后，PHP 应用就有了一层专门的防护，恶意流量会被拦截，正常用户不受影响。

借助第三方 DDoS 防护服务

Cloudflare、AWS Shield 这类服务是专业做 DDoS 防护的。它们提供的高级防护能自动过滤恶意流量，保证你的 PHP 应用持续在线。

接入方式很简单：

1. 注册 Cloudflare 或 AWS Shield。
2. 把域名的流量路由到它们的服务。
3. 它们会自动检测并拦截 DDoS 流量。

通过第三方服务，绝大部分攻击流量在到达你的 PHP 应用之前就已经被挡掉了。

实时监控和日志记录

持续监控流量和服务器性能有助于实时发现 DDoS 攻击。Datadog、New Relic、AWS CloudWatch 这类工具可以帮你捕捉异常流量、性能下降等问题。

记录可疑 IP

// Example: Log suspicious IPs for later analysis
$suspicious_ip = $_SERVER['REMOTE_ADDR'];
$log_file = '/path/to/your/log/file.log';
file_put_contents($log_file, "Suspicious IP: {$suspicious_ip}\n", FILE_APPEND);
// Optionally, block IP if it exceeds request limit
if ($request_count > $limit) {
    // Block the IP
    $blocked_ips[] = $suspicious_ip;
}

通过记录可疑活动，你可以事后封禁恶意用户，也能不断优化自己的防护策略。

总结

DDoS 攻击听起来可怕，但只要用对工具和策略，你完全可以保护好自己的 PHP 应用。从限流、CDN，到 WAF 和第三方防护服务，可选的方案并不少。

别慌——主动防御比被动应对强得多。今天就把这些防线搭起来，等攻击真来的时候你才不会手忙脚乱。持续监控、实时告警、遵循最佳实践，即使面对 DDoS，你的 PHP 应用照样能稳稳地跑着。