Автоматически блокировать DOS-атаки в AWS

Я хотел бы знать, какое лучшее и самое простое решение
для защиты http-сервера, развернутого в облаке AWS, от атак DOS

Я знаю, что для этой цели можно включить AWS Advanced Shield
, но это слишком дорого (3000 долларов в месяц)
https://aws.amazon.com/shield/pricing/

Архитектура системы
< br>

HTTP-запрос -> Балансировщик нагрузки приложений -> EC2

  • На этом компьютере установлен сервер Nginx
  • Сервер Nginx настроен с ограничением скорости
  • Сервер Nginx отвечает кодом 429, когда с одного IP отправлено слишком много запросов
  • Сервер Nginx генерирует файлы журналов (access.log, error.log)
  • AmazonCloudWatchAgent установлен на этом компьютере
  • AmazonCloudWatchAgent прослушивает файлы журналов
  • AmazonCloudWatchAgent отправляет изменения из файлов журналов в определенные группы журналов CloudWatch.
  • Журналы со всех машин EC2 централизованы на месте (группы CloudWatch Log)


Я могу настроить фильтры показателей CloudWatch Logs
для отправки мне сигналов тревоги, когда с одного IP-адреса поступает слишком много 429 запросов.
Таким образом, я могу вручную заблокировать определенный IP-адрес в сетевом ACL
и отключить все запросы от плохого IP-адреса на нижнем сетевом уровне
и защитить мои ресурсы AWS от истощения

Я хотел бы сделать это как-то автоматически
Как это сделать проще и чище?


amazon-web-services amazon-cloudwatchlogs denial-of-service
person kamildab_84    schedule 04.09.2019    source источник
comment
aws.amazon.com/de/answers/networking/aws -ddos-атака-смягчение   -  person lexicore    schedule 04.09.2019

Ответы (2)


arrow_upward
1
arrow_downward

Обратите внимание, что согласно ценовой документации на AWS Shield:

AWS Shield Standard обеспечивает защиту всех клиентов AWS от распространенных, наиболее часто возникающих DDoS-атак сетевого и транспортного уровня, нацеленных на ваш веб-сайт или приложение, без дополнительной оплаты.

Более подробное обсуждение защиты от DDoS-атак можно найти в следующих статьях:

person jarmod    schedule 04.09.2019

arrow_upward
1
arrow_downward

Нет простого способа заблокировать DDOS в вашей инфраструктуре. Однако есть несколько приемов и передовых практик, которым вы можете следовать, чтобы по крайней мере защитить инфраструктуру. DDOS-атаки можно остановить, проанализировав и исправив их одновременно.

Вы можете рассмотреть возможность использования внешних сервисов, перечисленных ниже, для некоторой блокировки ddos:

Cloudflare: https://www.cloudflare.com/en-in/ddos/

Imperva Incapsula: https://www.imperva.com/products/ddos-protection-services/

Я пробовал оба в производственной системе, и они довольно приличные. Cloudflare сейчас обрабатывает 10% всего интернет-трафика, они знают о хорошем и плохом трафике.

Они не так уж дороги по сравнению со щитом. Вы можете интегрировать его со своей инфраструктурой в виде кода для автоматизации всех ваших сервисов.

Disclaimer: I am not associated in any way with any of the services I recommended above.
person m0hit    schedule 04.09.2019