Cân bằng tải EC2 của Amazon: Chống lại tấn công DoS?

Question

Chúng tôi thường liệt kê địa chỉ IP bằng địa chỉ IP iptables. Nhưng trong Amazon EC2, nếu kết nối đi qua Bộ cân bằng tải đàn hồi, địa chỉ từ xa sẽ được thay thế bằng địa chỉ của bộ cân bằng tải, biểu hiện iptables vô ích. Trong trường hợp đối với HTTP, dường như cách duy nhất để tìm ra địa chỉ thực sự từ xa là xem tiêu đề HTTP HTTP_X_FORWARDED_FOR. Với tôi, việc chặn các IP ở cấp ứng dụng web không phải là một cách hiệu quả.

Thực tiễn tốt nhất để phòng chống tấn công DoS trong trường hợp này là gì?

In this article, ai đó đã đề xuất rằng chúng tôi có thể thay thế Cân bằng tải đàn hồi bằng HAProxy. Tuy nhiên, có một số nhược điểm trong việc làm này, và tôi đang cố gắng để xem nếu có bất kỳ lựa chọn thay thế tốt hơn.

Answer 1

Tôi nghĩ bạn đã mô tả tất cả các tùy chọn hiện tại. Bạn có thể muốn thuyết phục một số chủ đề của diễn đàn AWS để bỏ phiếu cho giải pháp - các kỹ sư và quản lý của Amazon mở ra các đề xuất cải thiện ELB.

Answer 2

Phổ biến để chạy máy chủ ứng dụng sau proxy ngược. Proxy ngược của bạn là lớp mà bạn có thể sử dụng để thêm bảo vệ DoS trước khi lưu lượng truy cập đến máy chủ ứng dụng của bạn. Đối với Nginx, bạn có thể xem the rate limiting module là một thứ có thể hữu ích.

Answer 3

Bạn có thể thiết lập máy chủ EC2 và chạy haproxy ở đó một mình (đó là những gì Amazon đang sử dụng anyways!). Sau đó, bạn có thể áp dụng các bộ lọc iptables của bạn trên hệ thống đó.

Answer 4

Nếu bạn triển khai ELB và các cá thể sử dụng VPC thay vì EC2-classic, bạn có thể sử dụng Nhóm bảo mật và ACL mạng để hạn chế quyền truy cập vào ELB.

http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/USVPC_ApplySG.html

Answer 5

Dưới đây là một công cụ tôi đã thực hiện đối với những người muốn sử dụng Fail2Ban trên AWS với apache, ELB, và ACL: https://github.com/anthonymartin/aws-acl-fail2ban