Amazon EC2 Load Balancer: Verteidigung gegen DoS-Angriff?

Question

Wir Blacklist IP-Adresse in der Regel mit iptables. Wenn jedoch in Amazon EC2 eine Verbindung den Elastic Load Balancer durchläuft, wird die Remote-Adresse durch die Adresse des Lastenausgleichsmoduls ersetzt, wodurch iptables unbrauchbar wird. Im Fall von HTTP ist die einzige Möglichkeit, die reale entfernte Adresse herauszufinden, der HTTP-Header HTTP_X_FORWARDED_FOR. Für mich ist das Blockieren von IPs auf Webanwendungsebene kein effektiver Weg.

Was ist die beste Vorgehensweise, um in diesem Szenario gegen DoS-Angriffe zu verteidigen?

In this article schlug jemand vor, dass wir Elastic Load Balancer mit HAProxy ersetzen können. Allerdings gibt es dabei gewisse Nachteile, und ich versuche herauszufinden, ob es bessere Alternativen gibt.

Answer 1

Ich denke, Sie haben alle aktuellen Optionen beschrieben. Vielleicht möchten Sie bei einigen der AWS-Forum-Threads mitspielen, um für eine Lösung zu stimmen - die Ingenieure und das Management von Amazon sind offen für Vorschläge für ELB-Verbesserungen.

Answer 2

Es ist üblich, einen Anwendungsserver hinter einem Reverseproxy auszuführen. Ihr Reverse-Proxy ist eine Schicht, die Sie verwenden können, um den DoS-Schutz hinzuzufügen, bevor der Datenverkehr zu Ihrem Anwendungsserver gelangt. Für Nginx können Sie the rate limiting module als etwas betrachten, das helfen könnte.

Answer 3

Sie könnten einen EC2-Host einrichten und haproxy selbst ausführen (das nutzt Amazon sowieso!). Dann können Sie Ihre iptables-Filter auf diesem System anwenden.

Answer 4

Wenn Sie Ihren ELB und Instanzen mit VPC anstelle von EC2-classic bereitstellen, können Sie Sicherheitsgruppen und Netzwerk-ACLs verwenden, um den Zugriff auf den ELB einzuschränken.

http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/USVPC_ApplySG.html

Answer 5

Hier ist ein Werkzeug, das ich für diejenigen, suchen Fail2Ban auf aws mit Apache, ELB und ACL zu verwenden: https://github.com/anthonymartin/aws-acl-fail2ban