1. घर
  2. सवाल और जवाब
  3. अमेज़ॅन ईसी 2 लोड बैलेंसर: डीओएस हमले के खिलाफ बचाव?

अमेज़ॅन ईसी 2 लोड बैलेंसर: डीओएस हमले के खिलाफ बचाव?

2010-03-07 17 views
12

हम आम तौर पर iptables के साथ आईपीएस पते को ब्लैकलिस्ट करते हैं। लेकिन अमेज़ॅन ईसी 2 में, यदि लोचदार लोड बैलेंसर के माध्यम से कोई कनेक्शन जाता है, तो रिमोट एड्रेस लोड बैलेंसर के पते से बदल दिया जाएगा, iptables बेकार। HTTP के मामले में, वास्तविक रिमोट पता खोजने का एकमात्र तरीका HTTP शीर्षलेख HTTP_X_FORWARDED_FOR पर देखना है। मेरे लिए, वेब अनुप्रयोग स्तर पर आईपी अवरुद्ध करना एक प्रभावी तरीका नहीं है।अमेज़ॅन ईसी 2 लोड बैलेंसर: डीओएस हमले के खिलाफ बचाव?

इस परिदृश्य में डीओएस हमले के खिलाफ बचाव करने का सबसे अच्छा अभ्यास क्या है?

In this article, किसी ने सुझाव दिया है कि हम लोचदार लोड बैलेंसर को हैप्रोक्सी के साथ प्रतिस्थापित कर सकते हैं। हालांकि, ऐसा करने में कुछ नुकसान हैं, और मैं यह देखने की कोशिश कर रहा हूं कि कोई बेहतर विकल्प है या नहीं।

स्रोत

2010-03-07 netvope

+0

यहाँ एडब्ल्यूएस मंचों में पर निम्नलिखित धागा भी देखने के लिए उपयोगी हो सकता है क्या समान स्थितियों में लोगों ने किया है: https://forums.aws.amazon.com/message.jspa?messageID=212411#212411 – jm3

उत्तर

3

मुझे लगता है कि आपने सभी मौजूदा विकल्पों का वर्णन किया है। समाधान के लिए वोट देने के लिए आप कुछ एडब्लूएस फोरम थ्रेडों पर झुकना चाह सकते हैं - अमेज़ॅन इंजीनियरों और प्रबंधन ईएलबी सुधारों के लिए सुझावों के लिए खुले हैं।

स्रोत

2010-04-30 01:34:30 sehugg

+0

उन्हें TPROXY समर्थन के बारे में पूछें। :) – Craig

1

रिवर्स प्रॉक्सी के पीछे एक एप्लिकेशन सर्वर चलाने के लिए आम है। आपकी रिवर्स प्रॉक्सी वह परत है जिसका उपयोग आप अपने एप्लिकेशन सर्वर पर ट्रैफिक होने से पहले डीओएस सुरक्षा जोड़ने के लिए कर सकते हैं। Nginx के लिए, आप the rate limiting module पर कुछ ऐसा कर सकते हैं जो मदद कर सकता है।

स्रोत

2012-05-25 19:43:56

0

आप एक ईसी 2 होस्ट स्थापित कर सकते हैं और अपने आप से हैपरोक्सी चला सकते हैं (यही वह है जो अमेज़ॅन किसी भी तरह से उपयोग कर रहा है!)। फिर आप उस सिस्टम पर अपने iptables- फ़िल्टर लागू कर सकते हैं।

स्रोत

2013-10-30 12:06:59 Craig

2

यदि आप ईसी 2-क्लासिक की बजाय वीपीसी का उपयोग करके अपने ईएलबी और उदाहरणों को तैनात करते हैं, तो आप ईएलबी तक पहुंच प्रतिबंधित करने के लिए सुरक्षा समूह और नेटवर्क एसीएल का उपयोग कर सकते हैं।

http://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/USVPC_ApplySG.html

स्रोत

2013-10-30 12:40:46

+1

क्या एसीएल नेटवर्क नियम प्रोग्रामेटिक रूप से जोड़ने का कोई तरीका है? I.e एक बार fail2ban की तरह कुछ परेशानी आईपी उठाया है, कुछ स्क्रिप्ट चलाओ जो इसे एक एसीएल नियम के रूप में जोड़ देगा? – Aphire

+0

@ एफ़ीयर हां, [क्ली] (https://docs.aws.amazon.com/cli/latest/userguide/cli-ec2-sg.html) और [एपीआई] (https://docs.aws। amazon.com/AWSJavaScriptSDK/latest/AWS/EC2.html#authorizeSecurityGroupEgress-property) सुरक्षा समूहों को बनाने और संशोधित करने का समर्थन करता है – Matt

0

यहाँ एक उपकरण के साथ मैं अपाचे, ईएलबी, और एसीएल एडब्ल्यूएस पर fail2ban का उपयोग करने के लिए देख उन लोगों के लिए बनाया गया है: https://github.com/anthonymartin/aws-acl-fail2ban

स्रोत

2016-09-19 16:17:46

संबंधित मुद्दे

 संबंधित मुद्दे