AWS 自动缩放和 DDoS 攻击
AWS autoscaling and DDoS Attacks
我在 AWS 上创建了一个带有自动缩放组的 ELB,我想知道发生 DDoS 攻击时自动缩放是如何工作的?它会扩展到我设置的限制吗?我如何保护我的 AWS 基础设施免受这种情况的影响?非常感谢。
DDOS 种类繁多,自动缩放组不会隐式识别来自正常流量的 DDOS 攻击。
假设您的扩展策略设置正确,您的自动扩展组 可能 在发生 DDOS 攻击时增长(实例数量),因为实例正在接收大量交通和超载。 (我说可能是因为所有应用程序对高流量和各种流量的响应略有不同。我曾使用过在没有额外工程的情况下不能很好地使用扩展策略的应用程序。此外,如果您的最大实例数已经达到,则不应继续成长)。
问题是无法区分真实流量和 non-real 流量,因此您的服务仍会充斥着 'fake' 内容。总体目标是 'filter' DDOS 流量在到达您的应用程序实例之前。
也就是说,AWS 有一些服务可以帮助抵御 DDOS 攻击:
https://aws.amazon.com/answers/networking/aws-ddos-attack-mitigation/
特别是 AWS Shield 和 AWS WAF 将允许您使用模式匹配或地理定位阻止等工具来拒绝有问题的不需要的流量攻击您的基础设施。不同的服务使用不同的缓解技术。如果您实施其中一些服务,它们将帮助您有效响应并降低成本,但据我所知,没有 'one size fits all' 方法。
根据预算,您可以使用其他组织和应用程序来做好准备。对于这是您的第一个应用程序或您的组织刚刚起步的人,我不会太担心 DDOS 缓解。拥有并熟悉 Web 应用程序 firewalls/shields 是获得许多其他好处的良好起点,这些好处可能与早期更相关。 (良好的安全卫生、熟悉应用程序流量等)
我在 AWS 上创建了一个带有自动缩放组的 ELB,我想知道发生 DDoS 攻击时自动缩放是如何工作的?它会扩展到我设置的限制吗?我如何保护我的 AWS 基础设施免受这种情况的影响?非常感谢。
DDOS 种类繁多,自动缩放组不会隐式识别来自正常流量的 DDOS 攻击。
假设您的扩展策略设置正确,您的自动扩展组 可能 在发生 DDOS 攻击时增长(实例数量),因为实例正在接收大量交通和超载。 (我说可能是因为所有应用程序对高流量和各种流量的响应略有不同。我曾使用过在没有额外工程的情况下不能很好地使用扩展策略的应用程序。此外,如果您的最大实例数已经达到,则不应继续成长)。
问题是无法区分真实流量和 non-real 流量,因此您的服务仍会充斥着 'fake' 内容。总体目标是 'filter' DDOS 流量在到达您的应用程序实例之前。
也就是说,AWS 有一些服务可以帮助抵御 DDOS 攻击:
https://aws.amazon.com/answers/networking/aws-ddos-attack-mitigation/
特别是 AWS Shield 和 AWS WAF 将允许您使用模式匹配或地理定位阻止等工具来拒绝有问题的不需要的流量攻击您的基础设施。不同的服务使用不同的缓解技术。如果您实施其中一些服务,它们将帮助您有效响应并降低成本,但据我所知,没有 'one size fits all' 方法。
根据预算,您可以使用其他组织和应用程序来做好准备。对于这是您的第一个应用程序或您的组织刚刚起步的人,我不会太担心 DDOS 缓解。拥有并熟悉 Web 应用程序 firewalls/shields 是获得许多其他好处的良好起点,这些好处可能与早期更相关。 (良好的安全卫生、熟悉应用程序流量等)