Amazon EC2でのDDOS攻撃を防ぐにはどうすればよいですか？

私が使用するサーバーの1つは、Amazon EC2クラウドでホストされています。数か月ごとに、このサーバーに対してDDOS攻撃を受けているようです。これにより、サーバーの速度が著しく低下します。約30分後、場合によっては後で再起動すると、すべてが正常に戻ります。

Amazonにはセキュリティグループとファイアウォールがありますが、攻撃を緩和または防止するためにEC2サーバー上に他に何を配置する必要がありますか？

私が学んだ同様の質問から：

• IPテーブル（またはUFWのようなもの）を介して特定のIPアドレスからの要求/分（または秒）のレートを制限します。
• そのような攻撃を乗り切るのに十分なリソースがある-または-
• Webアプリケーションを構築して、弾力性のある/弾力性のあるロードバランサーを搭載し、そのような高い需要を満たすために迅速にスケールアップできるようにします）
• mySqlを使用している場合、遅いクエリがシステムを動かさないように、mySql接続を順次実行するように設定します

他に何が欠けていますか？特定のツールと設定オプション（ここでもLinuxを使用）、および/またはAmazon EC2に固有の情報に関する情報が欲しいです。

ps：DDOSの監視に関するメモも歓迎します-おそらくnagiosで？;）

DDOS（またはDOS）は、本質的にリソースの枯渇です。ボトルネックを遠ざけることしかできないため、ボトルネックを解消することはできません。

AWSでは、ネットワークコンポーネントが非常に強力であるため、幸運です。アップストリームリンクが飽和状態になっていることを知るのは非常に驚くべきことです。ただし、CPUとディスクI / Oはフラッディングしやすい方法です。

最善のアクションコースは、一部の監視（SARなどのローカル、Nagiosおよび/またはScoutAppを使用したリモート）および一部のリモートログ機能（Syslog-ng）を開始することです。このような設定により、どのリソースが飽和状態になるかを特定できます（Synフラッドによるネットワークソケット、不適切なSQLクエリまたはクローラーによるCPU、RAMによる…など）。EBSボリュームにログパーティションを作成することを忘れないでください（リモートロギングを有効にしていない場合）（後でログを調べるため）。

攻撃がWebページを介して行われる場合、アクセスログ（または同等のもの）は非常に便利です。

また、EC2インスタンスをElastic Load Balancerの背後に配置し、ELBインスタンスからのトラフィックのみを受け入れることで、EC2インスタンスをさらに分離することもできます。これにより、DDOS攻撃を管理するためのAmazonの負担が大きくなります。

あなたはまだすべてに対してSSHを開いていると思うので、そのポートをいくつかの静的IPにロックダウンできない限り、そこにいくつかの不正なトラフィックがまだ表示される可能性があります。SSHdポートをより不明瞭なもの（つまり、22以外のもの）に変更して、DDOSヒットをさらに減らすことができます（ほとんどのボットは既知のポートのみをチェックします）。

また、ログを監視し、特定のIPをブロックするためにIPテーブルを一時的に変更できるfail2banについても言及します（たとえば、単一のIPアドレスからホストへのSSHの試行が6回失敗した場合、そのIPを30秒間ブロックできます）分程度）。fail2banは、元のリモートIPではなく、プロキシのIPをブロックするため、プロキシトラフィック（ELBからのトラフィックなど）をブロックするのにおそらく適切ではないことに注意してください。

使用していませんが、Apache mod_evasiveも調査する価値があります。ただし、IPベースのブロッキングに関しては、fail2banと同じ弱点がある場合があります。

Apacheを使用している場合、mod_securityを使用することをお勧めします。ほとんどのベンダーがパッケージ化したコアルールセットは素晴らしい仕事をします。

別の強化ステップは、Webサーバーレベルで要求を制限することです。Nginx。、Apacheは着信要求を抑制および制限できます。

IPのは、AWSなどから出てくるリアルタイム悪い活性を遮断するためのソリューションのIの使用は、これは... LFDブロックリストのための設定で私のCSFのファイアウォールでは、私はリストがここで見つける使用している- http://myip.ms/browse/blacklist/ Blacklist_IP_Blacklist_IP_Addresses_Live_Database_Real-time

CSF Firewallのブラックリストをダウンロード» http://myip.ms/files/blacklist/csf/latest_blacklist.txt

これ以上とんでもない不快なAWSトラフィック。

私はセキュリティプリセールスエンジニアとしてコンテンツ配信ネットワークで働いているため、偏見があります。

ただし、コンテンツ配信ネットワークでDdos軽減ソリューションを活用すると、元のリソースが不足することはありません。F5ロードバランサーをサイトの前に配置するのと似ていますが、世界中の何千もの場所に広がっています。

優れたcdnを使用すると、awsファイアウォールにインストールするホワイトリストでオリジンを隠すことができます。したがって、攻撃者がAmazonで偵察を実行すると、すべてがブロックされるため、IPアドレスが空になります。

そのため、トラフィックが攻撃者に可能な限り近いノードに到達すると、Ddos攻撃はブロックされます。これにより、保護しようとしている資産から遠く離れたDdos攻撃を緩和できます。

優れたcdnは、ヘルスチェックを実行し、他の場所（たとえば、お尻、Azure、ラックスペース、ソフトレイヤー、物理dcなど）に別の場所にトラフィックをフェイルオーバーすることもできます。 RUDY、slowpost、slowloris、sqli、xss、rfi、lfiなど

デフォルトでは、cdnは、ティアドロップ、icmp攻撃、synfloodsなどのネットワーク層攻撃もブロッ​​クします。cdyは、Drey攻撃を軽減できます。これは、treyが要求を受け入れ、不正なトラフィックをフィルタリングし、良好なトラフィックを渡すための膨大な容量があるためです そのため、ntp、DNS、ssdp、chargen、snmpボリュメトリック攻撃などの増幅攻撃をブロックできます。

私がこれまでに見た最大の攻撃は、2014年7月に321gbpsでした。この攻撃中に、20gbpsのDNSプロトコル攻撃もありました。したがって、膨大な数のリクエストに耐えられるように、DNSインフラストラクチャも回復力があることを確認する必要があります。

提供された説明から、攻撃者は多くのスレッドを開き、すべてのスレッドがWebサーバー、アプリサーバー、またはファイアウォールで消費されるという消耗攻撃を受けているようです。スローポスト、スローロリス、RUDYなどに似ています。

アプリケーション層の枯渇攻撃をブロックするには、Webアプリケーションファイアウォール（WAF）を取得する必要があります。一般的なネットワークファイアウォール（amazonsファイアウォールおよび次世代ファイアウォールを含む）は、ブロックできません。最近の仕事用ファイアウォールは、最近のすべての攻撃の約30％しかブロックできません（2014年11月）。

これは、Apache、ELB、およびACLを使用したAWSでFail2Banを使用したい人向けに作成したツールです。https：//github.com/anthonymartin/aws-acl-fail2ban

DoS攻撃およびec2インスタンスの悪用を検出および防止するのに役立ちます。

構成サーバーファイアウォールは、EC2のソフトウェアベースのVMでのDDoS軽減に関して私が見た中で最高です。syslog機能を組み合わせると、負荷分散された環境から保護できます。

http://configserver.com/cp/csf.html