Обычно мы указываем адрес IP-адреса с iptables
. Но в Amazon EC2, если соединение проходит через балансировщик эластичной нагрузки, удаленный адрес будет заменен адресом балансировки нагрузки, показывая iptables
бесполезно. В случае HTTP, видимо, единственный способ узнать реальный удаленный адрес - посмотреть заголовок HTTP HTTP_X_FORWARDED_FOR
. Для меня блокировка IP-адресов на уровне веб-приложений не является эффективным способом.
Какова наилучшая практика защиты от DoS-атаки в этом сценарии?
В этой статье кто-то предположил, что мы можем заменить Elastic Load Balancer на HAProxy. Однако есть определенные недостатки в этом, и я пытаюсь понять, есть ли какие-то лучшие альтернативы.