一台云服务器，入站端口全部关闭，出站打开，是不是即使公布 IP 地址，也不会被攻击

我有一台亚马逊云服务器

我把入站端口全部关闭，出站全部放开，是不是即使服务器 IP 地址暴露，也不会被攻击

排除物理攻击、机房其它云服务器被攻击导致连带的问题

只考虑从远处，且只有 IP 地址的情况下，是否能被攻击呢

xnode

2020-04-15 10:33:25 +08:00

@qingwuguo 你可能没搞明白你的机器 cpu 不会爆掉,但是你的钱包会爆掉,因为可能会算流量费用,因为 ddos 的原理就是不管你是否拒绝连接, 强行像你发包, 开启防火墙只会是你的处理效率变高,不能使你拒绝所有数据包

atpking

2020-04-15 10:34:03 +08:00

AWS 不知道, 但是阿里云我还是试过的,

当 ddos 向你的机器的 ip 发超过 5Gbps 的数据后, 是会进黑洞的, 无论你是否接受, 是否配 iptables 是否在阿里云上层提供的防火墙禁止数据包结果都一样 ==> 黑洞

atpking

2020-04-15 10:35:33 +08:00

@qingwuguo

老哥其实可以放在 cdn 后面的

如果说非要公布 ip 建议你在你的 dns 中设置不同的区域分配不同的 ip

atpking

2020-04-15 10:38:29 +08:00

@qingwuguo
个人建议, 如果没必要, 关闭所有入口的 udp 这玩意各种放大攻击, 还能隐藏源
tcp 的话确实没啥好办法,如果暴露 ip 只能按区域划分,我最近被 upnp 开启的路由器 ddos 的妈都不认识了

一般攻击的话还好境外的比较多, 去 dnspod 买个高级版, 分片搞一下, 再就是设置挂了自动切 ip
毕竟攻击也是有成本的耗呗

土豪直接上高防阿里的报价是 2w 一个月吧好像是

qingwuguo

2020-04-15 10:43:00 +08:00

@atpking 好的。我可以把服务器所有的入口关闭，服务器并不需要入口。
看来 IP 还不能公布
我目前需求是，需要暴露 IP，且 IP 还不能随意更改，需要固定

sodora

2020-04-15 10:45:51 +08:00

别人要大规模 DDoS 打你，也是要成本的，你能做的就是花钱买防御，最后拼谁能扛到底。所以，防 DDoS 说到底就是钱的问题。

lewis89

2020-04-15 10:54:10 +08:00

@sodora #26 DDos 的成本相对而言很低吧，而且现在物联网设备这么多漏洞还有 DNS 放大反射等各种手法，我感觉互联网最早设计的时候就没考虑过这些问题

learningman

2020-04-15 10:59:36 +08:00

@bashbot vnc

henvm

2020-04-15 11:01:20 +08:00

@qingwuguo #20，你这个要公布你的这个服务器 IP ？不这个不提供对外服务，是不是你需要的访问外部服务器的数据库，那外部的数据库服务器是外面公司的？你要把你这边的 IP 给对方过白名单？你是怕对方知道 IP 攻击你？
还有一个可能，你们做的业务可能是爬虫之类的，需要怕外面的一些数据，然后服务器计算清洗，怕别人知道未经允许爬然后来攻击你们？不过这也只是我的猜测。

henvm

2020-04-15 11:03:09 +08:00

@henvm #29 纠正下，不这个不提供对外服务 ->你们这个不提供对外服务
需要怕外面的一些数据 ->需要爬外面的一些数据

qingwuguo

2020-04-15 11:08:22 +08:00

@henvm 真实情况是这样的，我原来做了个量化交易软件，这个软件面向所有用户
用户想要用软件的话，需要提供他们所在交易所的 AppKey
而这个 AppKey 需要绑定服务器 IP 才能使用
这台服务器只需要请求交易所 API 来交易

xcodeghost

2020-04-15 11:09:00 +08:00

除了被 DDOS 攻击，理论上很安全了。

henvm

2020-04-15 11:09:25 +08:00

@sodora #26 我也只是好奇，不是拆楼主的台。他这个的业务需求怎么怕别人攻击。
我以为楼主防的是入侵攻击，比如扫描漏洞端口，入侵服务器。他连别人 DDOS 也考虑到。
他都不提供对外服务，就好比你在街上租了一个店面，但是你不对外营业，就是平常去别家店里“买东西，获取东西”到自己的店里，然后重新包装（计算）。别人还会攻击他？你租了店铺都不营业，可以说没有竞争对手吧。但是你租了店铺在这里每天去买人家店里的东西？别人估计会怀疑你搞什么鬼。
=========
说了这么多我只是好奇，没有其他恶意。

henvm

2020-04-15 11:14:53 +08:00

@qingwuguo #31 原来是这个啊？其实没不必要担心需求，你把入站请求都屏蔽了。外界一些黑客批量扫描的几乎认为你这个服务器 IP 是一台不存活的。
受到攻击，要么就是交易所那边泄露了你 IP，你这个软件响所有用户，用户使用你们的软件过程中，抓包的话，是否会抓出你们服务器的 IP，如果是的话，那你这个也不能保证用户是不是有你们的竞争对手参与进来。

qingwuguo

2020-04-15 11:16:39 +08:00

@henvm 需要直接告诉所有用户，我服务器的 IP，因为生成 appkey，需要用户自己去交易所生成，并且填写这个 IP

also24

2020-04-15 11:19:13 +08:00

@qingwuguo #31
> 而这个 AppKey 需要绑定服务器 IP 才能使用
> 这台服务器只需要请求交易所 API 来交易

那么这些交易信息是如何传递给这台服务器的呢？这实际上是个入口

henvm

2020-04-15 11:20:22 +08:00

@qingwuguo #31 那你这种还确实需要防止有恶意的人，来套你 IP 出来，然后攻击你。那这个的话。
如果你们能与交易所达成协议，双方之间使用 VPN 通道走内网，这样应该能杜绝。

qingwuguo

2020-04-15 11:21:06 +08:00

@also24 关闭所有入口，服务器依然可以请求其它服务器 API 的

also24

2020-04-15 11:23:25 +08:00

@qingwuguo #38
我的意思是说，你不需要对这个软件做任何的外部实时控制了嘛？

类似于修改下交易策略、交易参数之类的操作是如何进行的？

还是说部署的时候一次性配好，每次修改都从云主机控制台进去操作？

coymail

2020-04-15 11:23:27 +08:00

服务器端口全关闭了，几乎没可能会被攻击了，但是这和关机有什么区别

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/662525

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.