Я сказал бы, что это - очень мощное нападение, если у Вас есть достаточно ботов, которые запрашивают сайт. Можно противостоять ему частично с выравниванием нагрузки, брандмауэром и другой обороноспособностью. Однако достаточно ботов также нанесет вред лучшей обороноспособности.
Основной вопрос, который, как я сказал бы, является, что 'DOS' всегда выполняется против названия DNS, не IP-адреса. Таким образом, если hoster соберется переключить серверы или такой, то название DNS будет под ударом даже под новым сервером, никаким Escape...
Для связи за пределами VPC каждой подсети, отличной от заданной по умолчанию, требуется таблица маршрутизации и связанный с ней интернет-шлюз (по умолчанию подсети получают внешний шлюз и таблицу маршрутизации по умолчанию).
В зависимости от того, как вы создали общедоступную подсеть в VPC, вам может потребоваться явно добавить их дополнительно. Похоже, что ваша настройка VPC соответствует сценарию 1 - частное облако (VPC) с единственной общедоступной подсетью и интернет-шлюзом для обеспечения связи через Интернет из документации AWS VPC.
Вам потребуется добавить интернет-шлюз к VPC и в таблице маршрутизации общедоступной подсети назначить 0.0.0.0/0
(маршрут по умолчанию), чтобы перейти к назначенный интернет-шлюз. В документации есть прекрасная иллюстрация точной топологии сети.
Кроме того, для получения дополнительной информации см. Документацию VPC Internet Gateway AWS. К сожалению, это немного беспорядочно и неочевидно.
Для получения дополнительных сведений о проблемах с подключением см. Также: Устранение неполадок при подключении к вашему экземпляру .
Вы должны выделить ENI и назначить эластичный IP-адрес этому ENI. Кроме того, вы должны назначить этот ENI своему VPC. Таблица маршрутизации также должна быть правильной, чтобы правильно пересылать внешние пакеты в ваш VPC.
Я заметил, что (я думаю) вам нужно быть осторожным с тем, в какой зоне доступности создан ваш экземпляр. В противном случае подсеть, сетевой интерфейс и экземпляр должны находиться в одной зоне доступности. в этом случае нет возможности подключиться к общедоступному IP-адресу.
Я могу ошибаться, но я так не думаю, это стоило мне 12 часов работы, чтобы разобраться.
Надеюсь, это поможет кому-то другому.
Не уверен, что это именно тот случай, но я только что создал VPC с общедоступными и частными подсетями и заметил, что существует группа безопасности по умолчанию, адрес источника которой совпадает с именем группы безопасности. . Фактически доступа к нему нет. Пришлось изменить этот источник на Anywhere, и он начал работать.
Поскольку SSH является протоколом с отслеживанием состояния, вам необходимо убедиться, что у вас есть следующее правило OUTBOUND в вашем сетевом ACL:
Rule # Type Protocol Port Range Destination Allow / Deny
100 Custom TCP Rule TCP (6) 49152-65535 0.0.0.0/0 ALLOW