Балансер нагрузки Amazon EC2: защита от DoS-атаки?

Обычно мы указываем адрес IP-адреса с iptables. Но в Amazon EC2, если соединение проходит через балансировщик эластичной нагрузки, удаленный адрес будет заменен адресом балансировки нагрузки, показывая iptables бесполезно. В случае HTTP, видимо, единственный способ узнать реальный удаленный адрес - посмотреть заголовок HTTP HTTP_X_FORWARDED_FOR. Для меня блокировка IP-адресов на уровне веб-приложений не является эффективным способом.

Какова наилучшая практика защиты от DoS-атаки в этом сценарии?

В этой статье кто-то предположил, что мы можем заменить Elastic Load Balancer на HAProxy. Однако есть определенные недостатки в этом, и я пытаюсь понять, есть ли какие-то лучшие альтернативы.

Ответ 1

Думаю, вы описали все текущие варианты. Вы можете захотеть прослушивать некоторые темы форума AWS, чтобы проголосовать за решение - инженеры и руководство Amazon открыты для предложений по улучшению ELB.

Ответ 2

Если вы развертываете свои ELB и экземпляры с использованием VPC вместо EC2-classic, вы можете использовать группы безопасности и сетевые ACL для ограничения доступа к ELB.

http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/USVPC_ApplySG.html

Ответ 3

Обычно запускается сервер приложений за обратным прокси. Ваш обратный прокси - это слой, который вы можете использовать для добавления защиты DoS до того, как трафик доберется до вашего сервера приложений. Для Nginx вы можете смотреть модуль ограничения скорости как что-то, что могло бы помочь.

Ответ 4

Вы можете настроить хост EC2 и запустить там haproxy (что то, что Amazon использует в любом случае!). Затем вы можете применить свои iptables-фильтры к этой системе.

Ответ 5

Вот инструмент, который я сделал для тех, кто хочет использовать Fail2Ban для aws с apache, ELB и ACL: https://github.com/anthonymartin/aws-acl-fail2ban