ataques EC2 ELB e DOS

3

Estou usando o ELB da Amazon para balancear a carga entre servidores,

Quando meu site está sob ataque de bots, tudo está esgotado, então aqui está o problema

Não consigo bloquear endereços IP com grupos de segurança da Amazon, porque eles não permitem explicitamente "negar", portanto, para negar um IP, é necessário permitir todos os outros endereços IP, o que é entediante.

Eu não posso usar o iptables para bloquear endereços IP porque o ELB ofusca os endereços IP públicos e os substitui pelo seu próprio endereço IP.

O endereço IP real dos visitantes só pode ser visto em X-FORWARDED-IP

    
por user893730 29.06.2012 / 19:15

4 respostas

-1

Eu não acredito que isso seja possível de qualquer outra forma que você descreveu no nível do ELB.

Você pode usar o firewall em cada instância (por exemplo, iptables) para bloquear determinados endereços IP ou até mesmo para definir o limite de conexões por minuto / segundo para o endereço IP.

Dessa forma, você pode bloquear invasores automaticamente.

Além disso, você pode usar ferramentas como Chef / Puppet para propagar sua configuração de firewall para cada instância.

    
por 29.06.2012 / 19:50
2

Isso só aconteceu comigo também. Eu estive pensando sobre isso, e embora eu não tenha tentado implementá-lo, acho que para nós a resposta é criar uma instância executando um firewall dedicado na frente dos servidores de aplicativos. Dessa forma, os endereços IP reais são visíveis para o firewall. Vou tentar atualizar isso depois de tentar implementá-lo com qualquer problema que eu tenha encontrado.

    
por 14.08.2012 / 20:03
2

Você está certo de que não pode usar grupos de segurança para bloquear o tráfego.

Se você estiver usando um VPC, você deve usar o Network ACL da Amazon como um firewall. Eles permitem regras DENY, para que você possa bloquear o tráfego em um bloco IP ou CIDR.

link link

    
por 21.07.2014 / 05:19
0

Não é uma solução muito boa

Você pode impedir que o endereço IP acesse a instância do EC2 usando o apache ou iis. Isso obviamente não seria prático para centenas de instâncias.

Esta questão também é altamente relevante: Bloqueio de IP por trás de um balanceador de carga

    
por 29.06.2012 / 19:44