您好,这是我在 Server Fault 上的第一篇帖子,因此请随意编辑/更正礼仪。
我正在管理一台托管在 AWS 上的服务器。最近,它遭受了 DDoS 攻击。幸运的是,这只是一台临时服务器(目前),但将来我们计划在生产应用程序上使用其 API。
目前,我已通过限制所有 IP(通过 AWS 安全组)的访问(除了我自己的 IP 和办公室 IP)来阻止攻击。这种方法很有效,但如果人们将来需要访问此服务器,这种方法显然行不通。
我理想的系统是:阻止所有不来自我们域(即我们托管所有产品的域)的流量。例如,如果该域是“company.com”,我们希望所有来自某个随机 IP 或其他域的请求都得到阻止。这可以通过 AWS 实现吗?
如果没有,服务器是 Apache2 和 Ubuntu,我们可能会决定在那里处理这个问题。不过,我对 Apache 不是很在行,所以我希望有一个很好的 AWS 解决方案。
再次,如果对此有重复的问题,请随时关闭该问题/指出我的问题,我只是不知道很多这些主题的确切术语,因此很难找到正确的问题。 谢谢你!
答案1
如果您计划从域中的多个客户端使用它,那么它会有点复杂。您的域如何从外部识别?它有一个 IP 范围或几个已知网关吗?你为什么要首先公开这样的服务?
这是从您的内部网保护到此 API 的链接的问题,为什么不在内部网中使用指向那里的反向代理并仅限制对该代理的访问?