搬瓦工 VPS 被 DDOS 攻击，IP被 Nullroute 怎么办？

某天，您的网站突然无法访问，SSH 也连接不上。您登录搬瓦工（Bandwagon Host）后台，看到一条来自官方的通知，标题类似于“IP [您的IP地址] is nullrouted”。遇到这种情况，请先不要惊慌。多数情况下，这并不代表您的 VPS 已经“崩溃”，也不代表数据丢失。它通常意味着您的 VPS IP 正在遭遇异常流量攻击，服务商为了保护整个网络，临时对该 IP 启用了 Nullroute（空路由）。

当搬瓦工 VPS 因 DDoS 攻击触发 Nullroute 时，应先等待自动解除

本文将作为一份应急处理指南，帮您看懂搬瓦工 Nullroute 通知的含义，并给出从短期恢复、后续排查到长期防护的完整处理方法。

一、搬瓦工 VPS 被 DDoS 攻击和 Nullroute 是什么意思？

• DDoS 攻击（分布式拒绝服务攻击）：简单来说，就是大量被控制的设备在同一时间向您的 VPS IP 发送海量请求或垃圾流量，瞬间占满服务器带宽或上游网络资源，导致正常用户无法访问您的网站、SSH 或其他服务。
• Nullroute（空路由）：当某个 IP 遭遇大规模异常流量时，服务商可能会在网络上游直接丢弃发往该 IP 的数据包，以避免攻击流量影响同一机房、同一线路或同一网段的其他用户。

可以这样理解：您的 VPS IP 就像一个邮箱，DDoS 攻击就像大量垃圾信件同时涌来。

为了不让这些垃圾信件拖垮整个邮政系统，服务商会临时停止向这个邮箱投递任何信件。

这样做会让您的 IP 暂时无法访问，但可以保护整个网络不被攻击流量拖垮。

结论：Nullroute 通常不是 VPS 系统层面的故障，而是发生在网络上游的临时防护措施。您的 VPS 本身可能仍在运行，只是暂时无法从公网访问。

二、搬瓦工 IP 被 Nullroute 通知怎么看？

当您的 VPS 遭遇大规模流量攻击时，您可能会在搬瓦工 KiwiVM 控制面板首页，或者在注册邮箱中收到类似下面的官方通知。

一份典型的 IP 被 Nullroute 的官方通知

如果您是第一次使用搬瓦工后台，不太清楚 KiwiVM 面板中的 VPS 状态、IP 地址、流量、机房和通知信息分别代表什么，可以先参考这篇 搬瓦工 KiwiVM 面板信息详解：看懂 VPS 状态与资源使用，再回来看 Nullroute 通知会更容易理解。

这类通知虽然是英文，但关键信息通常并不复杂。重点看下面几项：

• Nullroute duration: 900 seconds
  • 含义：本次 Nullroute 的持续时间。示例中的 900 秒就是 15 分钟。
  • 注意：不同情况下持续时间可能不同，请以 KiwiVM 或邮件通知中的实际时长为准。
• Reason: IP ... is under a (D)DoS attack
  • 含义：您的 VPS IP 正在遭遇 DoS 或 DDoS 攻击，因此触发了临时防护。
• Our system will automatically lift the nullroute...
  • 含义：系统会在指定时间后自动解除 Nullroute。一般不需要用户手动操作。

需要注意的是，搬瓦工并不是高防服务商。官方 SLA 条款中也说明，遇到 DoS / DDoS 攻击时，可能会临时 nullroute 或阻断相关 IP 流量，并且 DDoS filtering 并不属于其 SLA 服务内容。

因此，频繁遭遇攻击的用户，不能只依赖搬瓦工后台自动恢复，而需要额外做安全加固和流量防护。

如果您想进一步了解搬瓦工 SLA 中关于在线率、服务补偿、DDoS、Nullroute 以及哪些情况不计入赔偿范围的具体说明，可以阅读这篇 搬瓦工 SLA PLAN 服务协议全解析：99.99%在线率保证与宕机赔偿标准。

三、搬瓦工 IP 被 Nullroute 后应该怎么处理？

确认 IP 被 Nullroute 后，最重要的是先判断当前处于哪个阶段：是 Nullroute 仍在生效，还是已经到期但服务仍未恢复，不同阶段的处理方式不同，操作顺序也很重要。

下面按照实际排查流程，分三步说明应该怎么处理。

1. Nullroute 生效期间：不要反复重启 VPS

在 Nullroute 持续期间，例如通知显示 900 秒，那么这段时间内所有进出该 IP 的流量都可能在上游被丢弃。

此时反复重启 VPS、关机、开机或重装系统，通常都无法解决问题，反而可能增加排查难度。

正确做法是：

• 先记录通知中的 IP、原因和持续时间；
• 等待 Nullroute 自动解除；
• 不要在短时间内频繁重启或重装系统；
• 如果有监控系统，可以保留攻击时间段的流量截图，方便后续分析。

2. Nullroute 解除后：测试网站、SSH 和 Ping

等待通知中的时间结束后，可以按下面顺序测试：

1. 刷新网站首页，确认 HTTP / HTTPS 是否恢复；
2. 尝试使用 SSH 登录 VPS；
3. 使用 ping、mtr 或 traceroute 测试网络连通性；
4. 返回 KiwiVM 后台查看是否出现新的 Nullroute 通知。

如果到期后仍然无法访问，常见原因有两种：

• 攻击仍在持续：系统可能自动触发了新一轮 Nullroute。
• 问题不只是 Nullroute：例如 VPS 防火墙配置错误、SSH 服务异常、网站服务停止、DNS 配置错误等。

3. 没有 Nullroute 通知时：先排查 VPS 状态和防火墙

如果您没有在 KiwiVM 或邮箱中看到 Nullroute 通知，但 VPS 无法访问，就不能简单认为是 DDoS。此时应该检查：

• VPS 是否处于 Running 状态；
• KiwiVM 的 Console 是否能进入系统；
• 防火墙是否误封了 SSH 或 Web 端口；
• 网站服务，例如 Nginx、Apache、PHP、MySQL 是否正常运行；
• 域名 DNS 是否解析到了正确 IP；
• 是否有系统负载过高、磁盘满、内存耗尽等问题。

四、搬瓦工 VPS 为什么会被 DDoS 攻击？

Nullroute 解除后，更重要的问题是：为什么这个 IP 会被攻击？不同原因对应的解决方案不同。

1. 网站或应用被直接攻击

如果您运行的是网站、博客、论坛、API、独立站、电商站等 Web 服务，并且攻击主要打向 HTTP / HTTPS 流量，那么最简单的防护方式是接入 Cloudflare。

Cloudflare 免费套餐已经包含基础的 CDN、SSL 和 DDoS 防护能力。

对于大多数个人网站、博客和小型业务站来说，接入 Cloudflare 后可以挡住大量常见的 Web 层攻击和流量型攻击。

但需要注意：

• Cloudflare 主要保护通过其代理的 Web 流量；
• 如果攻击者知道您的源站 IP，仍然可以绕过 Cloudflare 直接攻击 VPS；
• SSH、数据库、代理端口、游戏服务器等非 Web 服务，不能简单依赖 Cloudflare 免费版来保护；
• 接入 Cloudflare 后，应尽量隐藏源站 IP，并限制非必要端口的公网访问。

2. 源站 IP 暴露，攻击绕过 Cloudflare

很多网站虽然接入了 Cloudflare，但源站 IP 仍然可能因为历史 DNS 记录、邮件服务、子域名、程序接口、站点报错信息等方式被泄露。

一旦攻击者拿到真实源站 IP，就可以直接攻击搬瓦工 VPS，从而继续触发 Nullroute。

建议操作：

• 检查所有 DNS 记录，确认不必要的 A 记录没有直接暴露源站 IP；
• 不要在同一台 VPS 上同时跑网站和对外邮件服务；
• 避免通过未代理的子域名暴露真实 IP；
• 使用防火墙只允许 Cloudflare 回源 IP 访问 80 / 443 端口；
• Cloudflare 回源 IP 段可能会调整，配置防火墙规则后，也要定期检查并更新 Cloudflare 官方 IP 列表。
• SSH 改用密钥登录，并限制来源 IP。

3. VPS 被入侵或存在安全风险

如果您的 VPS 出现异常进程、异常登录、CPU 或带宽长期占用过高、未知定时任务、陌生用户、异常出站连接等情况，那么需要怀疑服务器已经被入侵或被植入恶意程序。

建议立即检查：

• /var/log/auth.log 或 /var/log/secure 中的 SSH 登录记录；
• 系统用户列表，确认是否存在陌生用户；
• crontab、/etc/crontab、/etc/cron.* 中是否有异常任务；
• top、htop、ps aux 中是否存在陌生高占用进程；
• ss -tunlp 或 netstat -tunlp 中是否有未知监听端口；
• 网站目录是否存在陌生 PHP、Shell、后门文件。

如果您的 VPS 不只是被 Nullroute，而是出现 CPU 长期占用过高、异常进程、带宽跑满，甚至被搬瓦工暂停服务，建议继续参考这篇 搬瓦工 VPS 被暂停？CPU 占用过高与 DDoS 攻击自助解决指南，按照 CPU、进程、流量和滥用风险逐项排查。

如果确认已经被入侵，最稳妥的处理方式是：备份必要数据，重新安装系统，然后重新部署业务。

不要只删除几个可疑文件就继续使用，因为后门可能不止一处。

您也可以参考本站的服务器安全加固指南，对 SSH、系统用户、防火墙、网站程序、文件权限和定时任务进行全面检查：搬瓦工 VPS 正规使用与服务器安全加固指南。

五、搬瓦工被 DDoS 攻击后应该怎么选？

如果您是因为网站频繁被攻击而考虑更换套餐，需要先明确一点：搬瓦工普通 VPS、CN2 GIA-E、香港、日本等优化线路套餐，都不能等同于高防服务器。

更换套餐可以改善线路质量、延迟、带宽和硬件性能，但不能从根本上解决 DDoS 攻击问题。

因此，套餐选择应该和防护策略一起看：

• 普通建站：选择稳定线路 + Cloudflare；
• 外贸站：优先选择网络稳定、硬件性能更好的套餐；
• 国内访问体验优先：优先考虑 CN2 GIA-E、香港、日本、新加坡等优化线路；
• 频繁被 DDoS：优先考虑 Cloudflare、高防 IP、源站隐藏，而不是单纯升级 VPS。

如果您重点关注在线率、线路稳定性和企业级 CN2 GIA 网络，可以进一步了解 搬瓦工 SLA PLAN 方案详解：DC5 机房 99.99% 在线率与企业级 CN2 GIA 网络，再结合预算和访问地区判断是否适合长期建站使用。

如果您准备长期使用搬瓦工，除了选择合适线路，也要注意续费周期和价格变化。关于月付、季付、年付之间是否会涨价，以及切换续费周期时价格如何计算，可以参考这篇 搬瓦工月付改年付会涨价吗？续费周期价格政策详解。

如果您购买搬瓦工 VPS 的目的不是建站，而是部署轻量级 AI 工具、自动化服务或私有化应用，套餐选择时应更关注 CPU、内存和磁盘性能。类似 OpenClaw 这类应用的部署流程，可以参考这篇 VPS 部署 OpenClaw 一键安装与配置指南。

购买建议：

• 如果只是学习 Linux、搭建测试环境，优先选择 KVM 常规线路。
• 如果主要用于建站，尤其是面向国内或中美访问，优先考虑 CN2 GIA-E。
• 如果是外贸站、企业站、独立站，并且更重视稳定性和 CPU 性能，可以考虑 E-Commerce + SLA。
• 如果目标用户集中在亚洲，并且预算充足，可以考虑香港、日本东京、新加坡等节点。
• 如果您的网站已经多次遭遇 DDoS，不建议只通过升级套餐解决，应优先接入 Cloudflare、隐藏源站 IP，必要时使用专业高防服务。

以上价格和配置仅供参考，搬瓦工套餐、库存、机房和价格可能随时调整。购买前请以搬瓦工官网结算页面显示的信息为准。

六、总结

收到 IP is nullrouted 通知，并不代表您的 VPS 数据丢失，也不代表系统已经损坏。

它通常是服务商在遭遇异常流量或 DDoS 攻击时采取的临时网络保护措施。

正确的处理方法是：

1. 短期：查看通知中的 Nullroute 持续时间，等待系统自动解除，不要反复重启或重装。
2. 恢复后：测试网站、SSH、Ping、MTR，并检查是否再次触发 Nullroute。
3. 长期：判断攻击来源和攻击目标，做好 Cloudflare 防护、源站隐藏、端口限制和服务器安全加固。
4. 选套餐：根据预算、访问地区和业务重要性选择合适线路，但不要把普通 VPS 套餐当成高防服务器。

对于普通网站用户来说，最推荐的组合是：搬瓦工 CN2 GIA-E 或 E-Commerce + SLA 套餐 + Cloudflare + 源站 IP 隐藏 + 基础安全加固。这样既能保证访问体验，也能尽量降低被攻击后再次触发 Nullroute 的概率。