Назад | Перейти на главную страницу

Могу ли я заблокировать входящий трафик от определенного интернет-провайдера

Эта проблема

На мой сервер продолжают поступать DDoS-атаки с IP-адресов, принадлежащих Ecatel в Нидерландах. Я написал их месяц назад и до сих пор ничего не слышал, и продолжать блокировать отдельные IP-адреса всякий раз, когда мой сервер замедляется до сканирования, не является разумным решением.

Информация о сервере

Я использую EC-2 micro на AWS, поэтому, если можно сделать что-то умное с группами безопасности AWS, это может быть лучшим решением.

Я не совсем уверен, какие варианты у меня есть, но предполагаю, что могу заблокировать трафик от определенного провайдера. Это возможно?

inetnum:        *ip-from* - *ip-to*
netname:        NL-ECATEL
descr:          *address*
country:        NL
admin-c:        EL25-RIPE
tech-c:         EL25-RIPE
status:         ASSIGNED PA
mnt-by:         ECATEL-MNT
mnt-lower:      ECATEL-MNT
mnt-routes:     ECATEL-MNT
changed:         20080621
source:         RIPE

role:           Ecatel LTD
address:        *address*
address:        *address*
address:        Netherlands
abuse-mailbox:  
remarks:        ----------------------------------------------------
remarks:        ECATEL LTD
remarks:        Dedicated and Co-location hosting services
remarks:        ----------------------------------------------------
remarks:        for abuse complaints : 
remarks:        for any other questions : 
remarks:        ----------------------------------------------------
e-mail:         
admin-c:        EL25-RIPE
tech-c:         EL25-RIPE
nic-hdl:        EL25-RIPE
mnt-by:         ECATEL-MNT
changed:        20130201
source:         RIPE

route:          89.248.172.0/23
descr:          AS29073, Route object
origin:         AS29073
mnt-by:         ECATEL-MNT
changed:        20071119
source:         RIPE

Во-первых, привязать ip к экземпляру t1.micro совсем не сложно - если вы хотите, чтобы экземпляр делал что-нибудь значимое, вы хотите использовать более крупный тип экземпляра.

Что касается запросов на блокировку - вы не сможете сбросить трафик с помощью групп безопасности экземпляра, так как это позволяет разрешать трафик, а не отбрасывать его. Вы можете запустить локальный брандмауэр iptables на экземпляре и добавить подсеть вручную.

Лучшее решение - установить и настроить fail2ban для автоматического добавления отдельных IP-адресов, которые демонстрируют поведение, подобное DDoS, в цепочку iptables. Весь процесс выходит за рамки ответа ServerFault, но проверьте эти ссылки для получения некоторых подробностей: (1) (2)