Bandwidth

如何防止 DDOS 攻擊對 Netlify 的影響?(停機時間 + 頻寬使用/成本)

  • April 26, 2021

情況:

  • 最初在 VPS 上執行的 React 應用程序
  • 幾天前,我們成為 DDOS 攻擊的目標,​​導致該網站癱瘓。
  • 在攻擊期間,我們決定遷移到 Netlify。
  • 遷移後,該站點再次上線。攻擊顯然仍然持續了幾個小時,而 Netlify 在保持網站正常執行方面做得很好……
  • …但是這樣做的成本很高(3.4 TB 的頻寬消耗,這意味著昂貴的賬單)。

我正在尋找防止 DDOS 攻擊影響的選項(避免停機時間以及頻寬使用/成本)

我會對任何易於設置且與 Netlify 配合得很好的東西特別感興趣,但我肯定會考慮所有選項。

我正在考慮的一些選項:

  • 優化頁面大小 - 可以減少頻寬,但這不是最終解決方案(您可以做的優化總是有限制的)。
  • 在 Netlify 前面配置 Cloudflare?- 我想知道這是否會解決問題以及是否有需要考慮的影響(關於性能和其他影響的 SO 有一些答案,但我並沒有真正找到太多)。
  • 其他選擇?

我承認這個問題非常廣泛,但建議、建議和更多細節將不勝感激(如何設置、自己的經驗、涵蓋此特定問題的參考/文章……)。

將您的伺服器置於 CloudFlare / AWS CloudFront + WAF 等 CDN / DDOS 保護供應商之後,並確保您的伺服器僅接受來自供應商的直接連接和您自己的靜態 IP。

這樣做的一般步驟是:

  1. 註冊服務並訂閱您需要的計劃
  2. 在您的服務上設置 DNS 以指向您的主機。確保傳輸您需要的任何其他 DNS 記錄 - MX、CNAME 等
  3. 更改您的域註冊商以使用 CDN 或 DDOS 供應商 DNS 伺服器。等到更改在網際網路上應用,最簡單的方法是等待 24 小時。你不應該看到任何區別,它應該保持完全相同的工作方式。
  4. 設置只接受來自 CDN 發布的 IP 範圍和您的私有 IP(例如您的工作或家庭靜態 IP)的請求的防火牆。如果您沒有靜態家庭 IP,則每次您想通過 SSH / RDP 進入伺服器時都必須更改防火牆。這是CloudFlare 發布的 IP 範圍。理想情況下是 IPv4 和 IPv6。這個防火牆應該是一個託管服務,否則 DDOS 仍然會使用你的伺服器頻寬,它只是不會攻擊你的應用程序。在 AWS 中你會使用安全組,Digital Ocean 你會使用 CloudFirewall 等

這不是特別困難,但您確實需要了解一些背景知識,例如 IP、防火牆等。每個 CDN 供應商都有文件可以引導您完成此操作。

縮放

在雲中,您還可以擴展以滿足通過 DDOS 保護系統的 DDOS 負載部分。

您應該閱讀AWS DDOS 白皮書,它在很大程度上適用於其他提供商和雲。

引用自:https://serverfault.com/questions/1060961