Amazon EC2 Load Balancer: Obrona przed atakiem DoS?

Question

Zazwyczaj umieszczamy adres IP na czarnej liście pod numerem iptables. Ale w Amazon EC2, jeśli połączenie przechodzi przez Elastic Load Balancer, adres zdalny zostanie zastąpiony przez adres load balancer, bezużyteczność renderowania iptables. W przypadku HTTP najwyraźniej jedynym sposobem na znalezienie prawdziwego adresu zdalnego jest sprawdzenie nagłówka HTTP HTTP_X_FORWARDED_FOR. Dla mnie blokowanie adresów IP na poziomie aplikacji WWW nie jest skutecznym sposobem.

Jaka jest najlepsza praktyka do obrony przed atakiem DoS w tym scenariuszu?

In this article, ktoś zasugerował, że możemy zastąpić Elastic Load Balancer przy pomocy HAProxy. W tym celu są jednak pewne wady i próbuję sprawdzić, czy istnieją lepsze alternatywy.

Answer 1

Myślę, że opisałeś wszystkie aktualne opcje. Możesz zagłosować na niektóre wątki forum AWS, aby głosować na rozwiązanie - inżynierowie i kierownictwo Amazona są otwarci na sugestie dotyczące ulepszeń ELB.

Answer 2

Często jest uruchamiany serwer aplikacji za odwrotnym proxy. Odwrotny serwer proxy to warstwa, której można użyć do dodania ochrony DoS, zanim ruch trafi na serwer aplikacji. Dla Nginx możesz spojrzeć na the rate limiting module jako coś, co może pomóc.

Answer 3

Możesz ustawić host EC2 i uruchomić tam haproxy (to, czego Amazon używa!). Następnie możesz zastosować filtry iptables w tym systemie.

Answer 4

Jeśli wdrożysz swoje ELB i instancje za pomocą VPC zamiast EC2-classic, możesz użyć grup bezpieczeństwa i sieciowych list ACL, aby ograniczyć dostęp do ELB.

http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/USVPC_ApplySG.html

Answer 5

Oto narzędzie zrobiłem dla tych, którzy chcą korzystać z fail2ban na AWS z Apache, ELB i ACL: https://github.com/anthonymartin/aws-acl-fail2ban