11

私たちは通常、IP アドレスをブラックリストに登録しiptablesます。しかし、Amazon EC2 では、接続が Elastic Load Balancer を経由する場合、リモート アドレスはロード バランサーのアドレスに置き換えられ、iptables役に立たなくなります。HTTP の場合、実際のリモート アドレスを確認する唯一の方法は、HTTP ヘッダーを確認することHTTP_X_FORWARDED_FORです。私にとって、Web アプリケーション レベルで IP をブロックすることは効果的な方法ではありません。

このシナリオで DoS 攻撃を防御するためのベスト プラクティスは何ですか?

この記事では、Elastic Load Balancer を HAProxy に置き換えることができると誰かが提案しました。ただし、これを行うには特定の欠点があり、より良い代替手段がないかどうかを確認しようとしています.

4

5 に答える 5

3

現在のすべてのオプションについて説明したと思います。AWS フォーラムのスレッドのいくつかに参加して、ソリューションに投票することをお勧めします。Amazon のエンジニアと経営陣は、ELB の改善に関する提案を受け付けています。

于 2010-04-30T01:34:30.400 に答える
1

リバース プロキシの背後でアプリケーション サーバーを実行するのが一般的です。リバース プロキシは、トラフィックがアプリケーション サーバーに到達する前に DoS 保護を追加するために使用できるレイヤーです。Nginx の場合、レート制限モジュールが役立つ可能性があります。

于 2012-05-25T19:43:56.063 に答える
0

EC2 ホストをセットアップして、自分で haproxy を実行することもできます (Amazon はとにかくそれを使用しています!)。次に、そのシステムに iptables-filters を適用できます。

于 2013-10-30T12:06:59.660 に答える