是否可以将所有404页面渲染卸载到CDN而不是源web服务器以防止DDoS攻击?看起来,如果你受到DDoS攻击,并且攻击通过迫使你的网络服务器渲染404个页面来占用计算资源,那么这些渲染将更好地通过CDN提供服务。有人愿意分享这方面的经验吗?
CloudFront使用Shield Standard自动抵御DDoS。
如果你想阻止向CloudFront发出的请求到达你的来源,有几个选项:
- 地理限制:只允许或阻止来自特定国家/地区的请求,而这些国家/地区是您不希望观众找到的。您可以在CloudFront控制台中对此进行配置,并且不需要任何费用
- 添加AWS WAF。您可以阻止常见的应用程序层攻击,也可以创建特定的规则来阻止请求(例如,以不使用的扩展名结尾的文件,例如.php(或添加速率限制
- 编写一个CloudFront函数(在CloudFront的边缘位置执行的javascript函数(来检查请求,并阻止任何与应用程序能够服务的请求不匹配的请求(例如,您可以检查传入请求是否与应用程序接受的路由之一匹配。如果不匹配,则返回404(
WAF和CloudFront功能都可能增加额外成本。CloudFront有一个永久的免费层(意味着每月应用一次(,包括1TB的数据传出和每月200万次CloudFront功能执行。除此之外的函数执行的价格为每100万次调用0.10美元。https://aws.amazon.com/cloudfront/pricing/
这里提供了几个CloudFront函数的示例,让您入门-https://github.com/aws-samples/amazon-cloudfront-functions