我们通常使用iptables
将IP地址列入黑名单。但是在Amazon EC2中,如果连接通过Elastic Load Balancer,则远程地址将被负载均衡器的地址替换,从而使iptables
无效。对于HTTP,显然,找出真正的远程地址的唯一方法是查看HTTP header HTTP_X_FORWARDED_FOR
。对我来说,在Web应用程序级别上阻止IP并不是一种有效的方法。
在这种情况下,抵御DoS攻击的最佳实践是什么?
In this article,有人建议我们可以用HAProxy代替Elastic Load Balancer。但是,这样做有一些缺点,我正在尝试看看是否有更好的选择。
最佳答案
我认为您已经描述了所有当前选项。您可能希望加入一些AWS论坛主题以投票支持解决方案-亚马逊工程师和管理人员乐于接受有关ELB改进的建议。
关于amazon-ec2 - Amazon EC2负载均衡器: Defending against DoS attack?,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/2394595/