2015-04-15 56 views
0

所有,如何使應用程序在訪問Amazon EC2上運行時,端口號80被封閉入站流量

我對Amazon EC2實例在Tomcat上運行的Web應用程序,我對GoDaddy的DNS名稱,其用彈性ip重定向到ec2上的這個Web應用程序。

當我向所有入站流量打開端口號80時,一切正常,但最近我收到亞馬遜支持的電子郵件,稱從我的實例向IP(s)xxx.xx.xx啓動了拒絕服務(DoS)攻擊.xxx通過UDP端口80.

我如何通過關閉端口80訪問外部世界的應用程序?

由於提前, 李可染

回答

0

HTTP是通過TCP。只在80上打開TCP,保持80上的UDP關閉。該webapp應該工作。

0

我有一個在tomcat上運行的亞馬遜ec2實例上的web應用程序,我在godaddy上有一個DNS名稱,該名稱通過彈性ip重定向到ec2上的這個web應用程序。

重定向是一件HTTP事情(並且效率不高,也不適用於書籤)。你的意思是你的網絡應用程序有一個記錄?當我打開的端口號80的所有入站流量

一切工作正常,你需要打開80端口服務的流量。

但最近我收到了來自亞馬遜的支持說拒絕服務的電子郵件(DoS)攻擊是從我的實例通過UDP端口80

推出IP(S)xxx.xx.xx.xxx

有2條可能的解釋:

1)你的軟件是越野車,並試圖通過UDP數據發送到他們的盒子。這不太可能,但是如果您意外啓用/錯誤配置了collectd,syslogd,statsd或其他軟件包,則可能會發生這種情況。

2)你的軟件是越野車,讓黑客接管你的箱子。它可能是您的Web應用程序,或者它可能是其他一些服務(如果您有其他端口向全世界開放)。

無論哪種方式,一個好的系統管理員可以使用TCPDump來找出問題所在。

如何通過關閉80端口到外部世界來使應用程序可訪問?

你不行。如果你想爲世界提供流量,你需要一個開放的端口。阻止端口80 TCP無法解決您的問題,因爲「TCP端口80上的傳入流量」(用於Web服務器)與「傳出UDP端口80」無關。如果你的盒子發送UDP流量,那麼這是一個運行在你的盒子上的破壞/錯誤配置的程序。

也就是說,您可以使用像CloudFlare這樣的代理服務將您的服務器「隱藏」在其負載均衡器後面。但那不能解決你的根本問題,這似乎是你的盒子不安全。如果您打算在互聯網上安裝服務器,則需要提高安全知識,或聘請系統管理員。

如果您的內容是「靜態」(即不是經常更改,就像每天更新幾次的簡單博客一樣),您應該考慮從S3提供服務​​。 S3不需要系統管理員,而EC2則需要系統管理員。

+0

非常感謝您花時間和提供詳細的解釋!你說http重定向效率不高 - 這是什麼意思?我在Godaddy中有一個A記錄,它指向我的EC2實例的彈性IP。我的應用程序在tomcat上運行,並且我配置了tomcat以在端口上運行80,所以它會重定向到我的應用程序。是否有一個更好的方法來做到這一點?對於這個問題,我發現我已經啓用了端口80出站通信錯誤。像@BretzL建議我已關閉所有端口,除了80上的UDP關閉。 – keran

+0

指向您的服務器的DNS記錄是正確的方式。 「重定向」有些不同:它不是由DNS處理,而是通過附加的Web服務器和附加的Web請求來處理。 – BraveNewCurrency

相關問題