我有一個問題(希望不是愚蠢的)。我是一家使用 AWS 託管各種應用程式的企業的 IT 人員,目前我們有一個經典負載平衡器位於 2 到 3 個 EC2 執行個體前面,用於處理我們所有的 Web 流量。這是一個非常簡單的配置。在過去 13 小時內,我們遭受了我們認為是惡意活動的攻擊。一個人(我認為)試圖每秒發送超過 500 個請求,我猜是一個壞演員。不幸的是,我不太具備 DevOps 技能,但我知道這是我之後需要投資的領域。
目前,我希望盡快阻止/限制這些請求。我在網路上讀到 API 網關可以做到這一點。如果您能提供有關創建哪種類型的 API 網關的建議,我將不勝感激。是否還可以建立一個 API 閘道並將所有請求路由到該網關到負載平衡器?是否也可以根據請求正文而不僅僅是 IP 位址來限制請求?謝謝,我非常感謝對此的任何回應。我也很樂意在必要時改進我的問題。
答案1
鑑於您有一小部分 IP 位址存取您的伺服器,我建議您在公用子網路存取控制清單 (NACL) 上新增拒絕規則。它位於 EC2 控制台中。
如果是 DDOS,那麼 AWS Shield(免費)可能會解決它,如果不是,AWS WAF 也可能會有所幫助。