Security

我可以阻止來自某個 ISP 的入站流量嗎

  • October 21, 2014

問題

我的伺服器不斷收到來自荷蘭 Ecatel 的 IP 的 DDoS 攻擊。我一個月前寫了它們,但仍然沒有聽到任何消息,並且每當我的伺服器慢到爬行時一直阻止單個 IP 地址不是一個謹慎的解決方案。

伺服器資訊

我在 AWS 上執行一個 EC-2 微型電腦,所以如果可以對 AWS 安全組做一些聰明的事情,那可能是最好的解決方案。

我不確定我在這裡有什麼選擇,但我認為我可以阻止來自某個 ISP 的流量。那可能嗎?

inetnum:        *ip-from* - *ip-to*
netname:        NL-ECATEL
descr:          *address*
country:        NL
admin-c:        EL25-RIPE
tech-c:         EL25-RIPE
status:         ASSIGNED PA
mnt-by:         ECATEL-MNT
mnt-lower:      ECATEL-MNT
mnt-routes:     ECATEL-MNT
changed:         20080621
source:         RIPE

role:           Ecatel LTD
address:        *address*
address:        *address*
address:        Netherlands
abuse-mailbox:  
remarks:        ----------------------------------------------------
remarks:        ECATEL LTD
remarks:        Dedicated and Co-location hosting services
remarks:        ----------------------------------------------------
remarks:        for abuse complaints : 
remarks:        for any other questions : 
remarks:        ----------------------------------------------------
e-mail:         
admin-c:        EL25-RIPE
tech-c:         EL25-RIPE
nic-hdl:        EL25-RIPE
mnt-by:         ECATEL-MNT
changed:        20130201
source:         RIPE

route:          89.248.172.0/23
descr:          AS29073, Route object
origin:         AS29073
mnt-by:         ECATEL-MNT
changed:        20071119
source:         RIPE

對於初學者來說,將 ip 綁定到 t1.micro 實例並不需要太多 - 如果您希望實例做任何有意義的事情,您希望使用更大的實例類型。

至於阻止請求 - 您將無法使用實例的安全組丟棄流量,因為它允許您允許流量,而不是丟棄它。您可以在實例上執行本地 iptables 防火牆並手動添加子網。

更好的解決方案是安裝和配置fail2ban以自動將表現出類似 DDoS 行為的單個 IP 添加到 iptables 鏈。整個過程超出了 ServerFault 答案的範圍,但請查看這些連結以獲取一些詳細資訊:(1) (2)

引用自:https://serverfault.com/questions/638553