Подсистема балансировки нагрузки Amazon EC2: Защита от DoS-атаки?
Мы обычно помещаем в черный список адрес дюйм/с с iptables. Но в Amazon EC2, если соединение проходит Эластичную Подсистему балансировки нагрузки, удаленный адрес будет заменен адресом подсистемы балансировки нагрузки, представляя iptables бесполезный. В случае для HTTP по-видимому, единственный способ узнать реальный удаленный адрес состоит в том, чтобы посмотреть на HTTP-заголовок HTTP_X_FORWARDED_FOR. Мне, блокируя дюйм/с на уровне веб-приложения не эффективный путь.
Что лучшая практика должна защитить от DoS-атаки в этом сценарии?
В этой статье кто-то предположил, что мы можем заменить Эластичную Подсистему балансировки нагрузки HAProxy. Однако существуют определенные недостатки в выполнении этого, и я пытаюсь видеть, существуют ли какие-либо лучшие альтернативы.
1 ответ
Думаю, вы описали все текущие варианты. Вы можете присоединиться к некоторым веткам форума AWS, чтобы проголосовать за решение - инженеры и руководство Amazon открыты для предложений по улучшению ELB.