AWS ALB 主机 Header 攻击
AWS ALB Host Header Attack
我正在尝试找到一种方法来阻止主机 header 攻击发生在我的 ALB 上。我的负载均衡器负责将端口 80 重定向到 443,这就是攻击可能发生的地方。现在我能看到的唯一方法是手动添加我的每个域,然后将默认规则设置为 503。而不是默认规则将主机重定向到 443。但是,我有很多域似乎应该有更简单的方法来做到这一点。
谁能想出一种方法来防止主机 header 在 ALB 中被操纵?
如果您想在 ALB 处阻止,您只有 2 个选择。
第一个选项是编辑 ALB 上的侦听器规则,并将您希望允许转发到目标组的每个主机列入白名单,然后默认操作 return来自 ALB 本身的回应。
第二个选项是将 WAF 附加到负载均衡器,并添加规则集以将主机 header 列入白名单,默认为阻止请求 (return正在向用户发送 403)。
这两个选项都需要您维护主机名列表以拒绝所有其他请求。
此外,您还可以配置网络服务器软件(如果您正在使用它),例如Apache、Nginx 等 return 默认主机上的 403(这通常是第一台主机)。通过这样做,任何到达服务器但没有有效 header 的请求都将命中此第一个主机配置,默认情况下可能 return 403.
我正在尝试找到一种方法来阻止主机 header 攻击发生在我的 ALB 上。我的负载均衡器负责将端口 80 重定向到 443,这就是攻击可能发生的地方。现在我能看到的唯一方法是手动添加我的每个域,然后将默认规则设置为 503。而不是默认规则将主机重定向到 443。但是,我有很多域似乎应该有更简单的方法来做到这一点。
谁能想出一种方法来防止主机 header 在 ALB 中被操纵?
如果您想在 ALB 处阻止,您只有 2 个选择。
第一个选项是编辑 ALB 上的侦听器规则,并将您希望允许转发到目标组的每个主机列入白名单,然后默认操作 return来自 ALB 本身的回应。
第二个选项是将 WAF 附加到负载均衡器,并添加规则集以将主机 header 列入白名单,默认为阻止请求 (return正在向用户发送 403)。
这两个选项都需要您维护主机名列表以拒绝所有其他请求。
此外,您还可以配置网络服务器软件(如果您正在使用它),例如Apache、Nginx 等 return 默认主机上的 403(这通常是第一台主机)。通过这样做,任何到达服务器但没有有效 header 的请求都将命中此第一个主机配置,默认情况下可能 return 403.