DDoS攻击处理策略

Question

我正在建立一个网站进行调查，这将存储一些答案和用户数据。显然，我想保持低成本和免费提供的范围内。我试图建立一个低成本的解决方案，以减少DDoS攻击。这是我想出的，但不确定我是否在朝正确的方向前进。我计划把我的前端服务也放在CloudFront后面。我会把AWS和盾牌放在这个CloudFront上。除此之外，我还计划添加两个WAF规则：

每个请求都应该有一个“用户代理”header

• Requests应该只来自一个特定的国家，也就是我的目标受众

。

除此之外，我还计划添加一个Recaptcha，以确保只有人类用户才能与我的应用程序交互，从成本的角度来看，这只是一种威慑。任何其他的建议或反馈都是非常感谢的。请注意:成本是一个巨大的因素。

Answer 1

AWS、CloudFront和WAF应该足以满足您的用例。使用geo限制，但我不认为头检查会增加任何价值，因为它是如此容易欺骗。此外，您可能会考虑为后端使用自动缩放来实现更大的恢复能力，但要小心缩放成本，制定适当的缩放策略并设置警报(如果您尚未设置警报)和扩展事件的通知。

有关更多信息，请查看此白皮书：https://docs.aws.amazon.com/whitepapers/latest/aws-best-practices-ddos-resiliency/aws-best-practices-ddos-resiliency.pdf

Answer 2

FluxCDN，DDoS-卫队，Cloudflare，Stackpath是一个很好的选择。

• 使用GEO限制(中国，印度.)并挑战请求(Captcha).
• Block空用户代理和来自机器人的用户代理，例如“python-请求”(如果您不需要的话)。
• 阻止IP访问您的站点(速率限制)。
• 阻止坏的ASN访问您的站点。
• 使用JS挑战来挑战request.
• Cache静态文件(pngs，htmls )的合法性。)
• 块HTTP/1.0HTTP/1.1HTTP/1.2(如果不需要的话(占DDoS攻击总数的99% )