一台云服务器,入站端口全部关闭,出站打开,是不是即使公布 IP 地址,也不会被攻击

2020-04-15 10:06:18 +08:00
 qingwuguo

我有一台亚马逊云服务器

我把入站端口全部关闭,出站全部放开,是不是即使服务器 IP 地址暴露,也不会被攻击

排除物理攻击、机房其它云服务器被攻击导致连带的问题

只考虑从远处,且只有 IP 地址的情况下,是否能被攻击呢

10068 次点击
所在节点    程序员
70 条回复
henvm
2020-04-15 10:11:47 +08:00
不是很明白你的意思,你把外面请求访问你服务器的 0-65535 端口所有请求关闭与外界隔绝就约定于断网。
难道你平时的使用是一直对外发数据包,不收数据包?
你这个的就跟现在家里宽带 NAT 差不多。外面主动请求不到你的电脑任何端口。
celeron533
2020-04-15 10:13:07 +08:00
巨量的连接请求送过来,还是有可能挤爆网口或者上级交换
lhx2008
2020-04-15 10:13:14 +08:00
应该是可以的,前端会把数据转发到你机器上
henvm
2020-04-15 10:15:35 +08:00
你在系统做这样的防火墙规则,那你平时也只能通过云厂商的面板控制台输入你的机器系统账户密码进去使用了。就跟平时在家里上网一样,但是想对外提供服务就没法了。
难道是买云服务器挂 QQ,挂游戏,挖矿?
littlewing
2020-04-15 10:15:40 +08:00
我想知道那你怎么 ssh 上去
qingwuguo
2020-04-15 10:15:51 +08:00
@celeron533

@lhx2008

我没有开放任何出站端口,对方怎么连接请求呢
bashbot
2020-04-15 10:16:41 +08:00
按照理解就是服务器上没有 listen 端口,只能从服务器向外发起链接。确实可以屏蔽许多攻击。
sshd 需要 listen 端口的,不开怎么上去?
qingwuguo
2020-04-15 10:18:15 +08:00
@henvm 这台服务器还是需要连接数据库的,读取数据库、请求别出 API 来获取相应信息,然后服务器计算后,又写入数据库
qingwuguo
2020-04-15 10:19:06 +08:00
@bashbot
@littlewing
ssh 我可以零时打开,并且指定我 IP,只需要短时间连接
tankren
2020-04-15 10:20:31 +08:00
可以把所有从外网发起访问的连接丢掉
ourFEer
2020-04-15 10:21:51 +08:00
你在扯淡吧,压根用不着你公布 ip,别人 ping 你或者 nslook 你的 dns,再不济,站长之家也能查到你域名背后的 ip 地址
qingwuguo
2020-04-15 10:22:55 +08:00
@ourFEer 没有域名,且并不需要对外访问
zocome
2020-04-15 10:22:55 +08:00
如果我没理解错的话,防 C 不防 D 吧?
xnode
2020-04-15 10:23:32 +08:00
..... 连接都是双向的,如果任何系统防火墙端口都关闭,那么理论上会直接拒绝 100%的访问,但是流量仍然会到达你的机器,只是机器的处理效率是非常高的,100%拒绝,实际上来说如果攻击量足够大的话,仍然可以是你的 cpu 满载然后挂掉,亚马逊的端口策略应该是在云里和上层路由里,所以不会到达你的机器,所以一般也不会挂掉,除非整个节点都挂掉
henvm
2020-04-15 10:23:56 +08:00
@qingwuguo #6,就是这台服务器的业务需求就是请求外的数据库,读取,然后计算完之后,写入数据库。
那你倒是可以屏蔽出站端口。但是平时管理会比较麻烦,只能通过亚马逊的面板控制台来管理服务器,如果平时管理次数不多。就是放着让他跑很稳定的话。可以这么做,杜绝了很多攻击。
ddos 除外。
star7th
2020-04-15 10:23:57 +08:00
我感觉这样的问题不大。只是说黑客技术发展,不知道有没有什么黑技术出现。但至少这种情况下,能阻止大部分的攻击,尤其是来自脚本小子的自动扫描工具之类的初级攻击。
qingwuguo
2020-04-15 10:24:24 +08:00
@xnode 感谢,这是我想要的答案
qingwuguo
2020-04-15 10:25:52 +08:00
@henvm 感谢,感谢
sodora
2020-04-15 10:27:45 +08:00
当然会被攻击。DDoS 攻击根本就不管你端口有没有开放。
qingwuguo
2020-04-15 10:30:37 +08:00
情况是我必须要公布这台服务器 IP,那我是否可以多公布几个 IP (自己申请的 IP 池,没有绑定服务器的),来分担被攻击的压力。那么对方能否知道自己攻击到了正确的 IP 呢

@sodora
@star7th
@henvm
@xnode

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/662525

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX