我们在 Amazon AWS 上有一个 Web/数据库服务器,我最近发现它正在遭受来自各种国际 IP 的大量攻击尝试。经过检查,这些 IP 似乎大多位于中国。这导致了性能问题,有时 Web 请求会被全部丢弃。
由于网络服务器为加利福尼亚州的开发人员和客户提供服务,因此他们是移动的,我们无法确定他们的 IP 地址。
既然我不关心美国以外的任何流量,我该如何最好地阻止这种情况?AWS 安全组似乎不允许这样做,除非我创建入站规则,将任何适合的美国 IP 类别列入白名单,但这非常耗时。
是否存在 B 类范围表或类似的东西,我可以过滤掉美国范围并剪切并粘贴到 Windows 防火墙入站规则中?
答案1
马特,
您可以前往https://www.countryipblocks.net/查看常见的国家/地区阻止。但是,对于简单的防火墙来说,任何类型的阻止实际上都是不可行的。解析所有规则需要大量时间,并且会对您的服务器性能产生巨大影响。我只会将您的服务器锁定到需要它的用户的特定端口,对于管理端口,您可以让您的员工通过跳转箱或某种类型的 VPN 在关闭端口上进行引导以获得该级别的访问权限。您始终可以对对您造成严重影响的范围进行一次性阻止,但就我所见,不建议在服务器上进行如此大规模的阻止。
更新:
在 Linux 上,我使用 fail2ban、deny_hosts 和 iptables 速率限制来阻止与服务器通信过多的主机。我不是 Windows 管理员,但您可能可以使用 OSSEC 执行此操作,并在发生 X 时绑定自动响应。此外,在快速谷歌搜索后,我发现人们使用 Powershell 做了类似的事情。这里是我发现的一个,但我不知道它是否有效。