Amazon EC2 Load Balancer: ¿Defendiendo contra el ataque DoS?

Question

Por lo general, ponemos en lista negra la dirección de IP con iptables. Pero en Amazon EC2, si una conexión pasa por Elastic Load Balancer, la dirección remota será reemplazada por la dirección del equilibrador de carga, lo que hace que el iptables sea inútil. En el caso de HTTP, aparentemente la única forma de averiguar la dirección remota real es mirar el encabezado HTTP HTTP_X_FORWARDED_FOR. Para mí, bloquear las direcciones IP a nivel de la aplicación web no es una forma efectiva.

¿Cuál es la mejor práctica para defenderse contra un ataque DoS en este escenario?

In this article, alguien sugirió que podemos reemplazar Elastic Load Balancer con HAProxy. Sin embargo, hay ciertas desventajas al hacer esto, y estoy tratando de ver si hay mejores alternativas.

Answer 1

Creo que ha descrito todas las opciones actuales. Es posible que desee intervenir en algunos de los temas del foro de AWS para votar por una solución: los ingenieros y la administración de Amazon están abiertos a sugerencias de mejoras de ELB.

Answer 2

Es común ejecutar un servidor de aplicaciones detrás de un proxy inverso. Su proxy inverso es una capa que puede usar para agregar protección DoS antes de que el tráfico llegue a su servidor de aplicaciones. Para Nginx, puede mirar the rate limiting module como algo que podría ayudar.

Answer 3

Puede configurar un host EC2 y ejecutar haproxy usted mismo (¡eso es lo que usa Amazon de todos modos!). Luego puede aplicar sus filtros iptables en ese sistema.

Answer 4

Si implementa su ELB y las instancias que usan VPC en lugar de EC2-classic, puede usar Grupos de seguridad y ACL de red para restringir el acceso al ELB.

http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/USVPC_ApplySG.html

Answer 5

Aquí es una herramienta que hice para aquellos que buscan utilizar Fail2Ban en AWS con Apache, ELB, y ACL: https://github.com/anthonymartin/aws-acl-fail2ban