Завершить инстанс EC2 при DDoS-атаке, затем запустить новый инстанс

Вы должны прочитать Технический документ AWS DDOS.

Пара идей:

• Если вы получили DDOS-атаку, включите функцию CloudFlare «I'm Under Attack». Это поможет смягчить атаку. Конечно, ваш экземпляр должен быть защищен брандмауэром, чтобы только IP-адреса CloudFlare могли получить доступ к вашей инфраструктуре. Одного этого, вероятно, достаточно для смягчения DDOS-атаки.
• Поместите ELB (или ALB) перед вашим экземпляром (ами). Он предоставляет AWS Shield, который обеспечивает достаточно хорошую защиту от DDOS. Интересно, будет ли считаться, что IP-адреса CloudFlare атакуют ваш сайт, поскольку относительно небольшое количество (я думаю, сотни IPS) будет отправлять весь трафик на ваш экземпляр. Это может отключить законный трафик.
• AWS WAF обеспечивает дополнительную защиту от DDOS. Не уверен, хотите ли вы использовать его и с CloudFlare.
• Если ничего не помогает, и вам нужно изменить IP-адреса, вам не нужен новый экземпляр. Просто отсоедините и освободите свой эластичный IP-адрес, выделите и прикрепите новый эластичный IP-адрес. На уровне ОС может потребоваться некоторая конфигурация. Однако это должно быть крайней мерой, так как всем вашим клиентам потребуется время, чтобы получить новый IP.

Думаю, можно было бы, но, честно говоря, это кажется излишним. Почему бы не использовать функцию регулирования шлюза API?

Чтобы предотвратить перегрузку вашего API из-за слишком большого количества запросов, Amazon API Gateway регулирует запросы к вашему API, используя алгоритм корзины с токенами, при котором токен учитывается при запросе. В частности, API Gateway устанавливает ограничение на постоянную скорость и количество запросов для всех API в вашей учетной записи. В алгоритме сегмента токенов пакет - это максимальный размер сегмента.

Также прочтите это: https://aws.amazon.com/answers/networking/aws-ddos-attack-mitigation/