浅谈服务器 IP 黑洞后,使用另外的 IP 能远程登录但无网络的原因与解决方案
浅谈服务器主 IP 黑洞后,使用附加 IP 能远程登录但无网络的原因分析与解决方案
在实际服务器运维中,主机遭遇 DDoS 大流量攻击后,IDC 通常会对攻击目标 IP 触发 Blackhole(黑洞路由)。
常见现象是:
-
主 IP 完全不可访问
-
绑定附加 IP(Additional IP / Failover IP)后,可以远程连接服务器
-
但服务器依旧无法访问外网,例如无法
ping、无法更新系统、无法访问业务域名
“能登录但无网络” 看似矛盾,其实背后涉及到路由、网关策略、黑洞机制等多个因素。本文对该现象进行较为系统的分析,并给出可行的解决方案。
一、问题背景:主 IP 黑洞后的典型现象
黑洞触发后:
-
主 IP 的入方向流量被丢弃(Null-route)
-
一些机房会同时限制主 IP 的出方向流量
-
同网段的其他 IP、附加 IP 可能仍然能被访问
因此,管理员可以通过附加 IP 登录,但系统依旧无法外联。
该现象的根因,大多数都与“默认路由仍然走主 IP 的网关”有关。
二、为什么附加 IP 能登录,但服务器依旧没有网络?
以下为最核心的几个原因,排名从最常见到次常见。
1. 默认路由仍指向被黑洞的主 IP 网关(最常见原因)
附加 IP(Additional IP / Failover IP)通常只是主网卡上的一个别名(Alias),不会自动修改系统路由表。
例如:
主 IP:1.1.1.10 网关:1.1.1.1 附加 IP:1.1.1.20(同网段)
黑洞触发 → 主 IP 的路由出口被限制
此时系统出方向依旧是:
0.0.0.0/0 → 1.1.1.1(主 IP 网关)
虽然附加 IP 入方向正常,但所有出方向数据包都被主 IP 的黑洞路由拦截,导致服务器出现“可登录但无网络”的现象。
2. 附加 IP 与主 IP 属于同一网段,不具备独立网关
绝大多数 IDC 的附加 IP 与主 IP 在同一网段,网关同属一个出口。
此时你即便绑定多个 IP:
-
入方向可从附加 IP 进入
-
出方向依旧经过与主 IP 相同的网关
一旦主 IP 触发黑洞,该网段的出口都会受到影响,因此附加 IP 出不去属于正常现象。
3. IDC 启用了“网段级黑洞”或“攻击面控制策略”
部分 IDC 在攻击过大、影响网络质量时,会直接对小网段进行整体封堵,例如:
-
/30
-
/29
-
/28
此时整个网段的出口都被限制,附加 IP 即便正常响应 ARP,也无法外联。
从服务器表现来看,就是:
-
能登录
-
能 ping 本机、能 ping 同网段
-
无法出公网
4. ARP 缓存或路由项未更新
黑洞前后、切换 IP 前后,可能产生以下问题:
-
ARP 缓存依旧指向旧网关
-
Link 层缓存未刷新
-
系统路由表未及时更新
这类情况也会导致外联失败。
三、常见的解决方案(按有效程度排序)
方案 1:切换默认路由为附加 IP 的独立网关(若附加 IP 不同网段)
如果附加 IP 属于另一个独立网段,并提供独立网关,这是最有效的方式。
Linux:
ip route replace default via <附加IP的网关>
Windows:
route delete 0.0.0.0 route add 0.0.0.0 mask 0.0.0.0 <附加IP网关>
如果附加 IP 网段与主 IP 不同,则可以在黑洞期间完全恢复外网。
方案 2:等待主 IP 黑洞自动解除(大部分 IDC 30~120 分钟)
如果附加 IP 与主 IP 在同一网段:
-
默认网关无法区分主 IP 和附加 IP
-
黑洞只要未解除,整个网段出方向都会受影响
此时唯一可行方案就是等待自动解除,或联系 IDC 人工处理。
方案 3:向 IDC 申请附加 IP“独立路由/独立网关”
部分 IDC 支持:
-
Failover IP 带独立网关
-
独立 VLAN
-
独立路由策略
一旦使用独立网关,主 IP 黑洞就不会影响附加 IP 的出口流量。
方案 4:刷新 ARP 缓存与路由缓存(适用于黑洞已解除)
Linux:
ip neigh flush all systemctl restart network
Windows:
arp -d * ipconfig /flushdns
适合黑洞解除后,但网络仍未恢复的情况。
方案 5:确认是否存在网段级封堵
如果以下情况同时出现:
-
主 IP 黑洞
-
同网段附加 IP 无法外联
-
但可以正常远程连接服务器
那么几乎可以确认:
IDC 对整个小网段做了出口封锁。
此时需要:
-
申请高防 IP
-
或迁移到高防线路
-
或请求 IDC 临时解封
四、总结
现象:
附加 IP 可以远程连接,但服务器无法访问外网。
最主要根因:
服务器的默认路由仍然指向被黑洞的主 IP 所在网关,导致出口流量全部被丢弃。
有效解决方法:
-
若附加 IP 有独立网关 → 切换默认路由(最佳方案)
-
若同网段 → 等待黑洞自动解除
-
申请独立网关的附加 IP
-
刷新 ARP/路由缓存
-
检查是否网段级封堵
