EC2 实例遭遇大量入站流量高峰。Apache 日志显示使用情况正常

EC2 实例遭遇大量入站流量高峰。Apache 日志显示使用情况正常

我需要一些指导来弄清楚这里发生了什么。

我有一个运行 WordPress 网站的 EC2 实例。实例上的入站流量激增至令人担忧的水平,与网站的使用情况不一致。出站流量相对正常。

这会减慢网站速度,并且

Apache 日志不反映访问服务器的流量。日志中没有任何异常,除了许多由服务器生成的“内部虚拟连接”,根据我的阅读,这些连接无需担心。

WordFence(WordPress 安全插件)也没有显示任何异常。所以我怀疑这是某种攻击。

我可以采取哪些步骤来了解访问我的 EC2 实例的流量的来源和内容?

(如果这是一个模糊的问题,请原谅。我不是 EC2 专家,这是我所掌握的全部信息)。


更新:目前怀疑这是一次 DOS 攻击。

答案1

为了让你的生活更轻松,你需要使用亚马逊提供的监控工具云监控这是 AWS 的一个组件,它提供对在 Amazon 基础设施上运行的 AWS 资源的实时监控,并收集指标和日志。尝试转到 CloudWatch > Metrics > EC2 > Per Instance Metrics,然后尝试按以下方式进行筛选指标名称看看你是否能弄清楚你的实例上发生了什么。

希望这有用。问候!

答案2

要分析您的入站流量,请查看以下链接:

https://docs.aws.amazon.com/wellarchitected/latest/financial-services-industry-lens/monitor-vpc-flow-logs-for-abnormal-traffic-patterns.html

如果您想更好地防范 DDoS 攻击,您可以尝试使用 AWS Shield 服务。但是,高级选项中的 AWS Shield 是一项非常昂贵的服务,而 AWS Shield Standard 选项可能是您保护 EC2 实例的首选。您没有提到攻击发生在哪一层。第 7 层保护 = AWS Shield Advanced。

相关内容