Estou usando o ELB da Amazon para balancear a carga entre servidores,
Quando meu site está sob ataque de bots, tudo está esgotado, então aqui está o problema
Não consigo bloquear endereços IP com grupos de segurança da Amazon, porque eles não permitem explicitamente "negar", portanto, para negar um IP, é necessário permitir todos os outros endereços IP, o que é entediante.
Eu não posso usar o iptables para bloquear endereços IP porque o ELB ofusca os endereços IP públicos e os substitui pelo seu próprio endereço IP.
O endereço IP real dos visitantes só pode ser visto em X-FORWARDED-IP
Eu não acredito que isso seja possível de qualquer outra forma que você descreveu no nível do ELB.
Você pode usar o firewall em cada instância (por exemplo, iptables) para bloquear determinados endereços IP ou até mesmo para definir o limite de conexões por minuto / segundo para o endereço IP.
Dessa forma, você pode bloquear invasores automaticamente.
Além disso, você pode usar ferramentas como Chef / Puppet para propagar sua configuração de firewall para cada instância.
Isso só aconteceu comigo também. Eu estive pensando sobre isso, e embora eu não tenha tentado implementá-lo, acho que para nós a resposta é criar uma instância executando um firewall dedicado na frente dos servidores de aplicativos. Dessa forma, os endereços IP reais são visíveis para o firewall. Vou tentar atualizar isso depois de tentar implementá-lo com qualquer problema que eu tenha encontrado.
Não é uma solução muito boa
Você pode impedir que o endereço IP acesse a instância do EC2 usando o apache ou iis. Isso obviamente não seria prático para centenas de instâncias.
Esta questão também é altamente relevante: Bloqueio de IP por trás de um balanceador de carga
Tags amazon-ec2 load-balancing ddos