Уменьшите объем сетевого трафика, отфильтровав злоумышленников в AWS

Wishper

01.07.2023, 20:25

только что установил простое веб-приложение django в экземпляре AWS EC2. Экземпляр всегда включен, но на данный момент никем не используется (все еще находится в разработке). В последнее время AWS отчитывается о больших деньгах из-за сетевого трафика. Когда служба apache2 включена, через порт 80 проходит МНОГО трафика, и просмотр netstat выглядит как атака грубой силы, направленная внутрь приложения django.

Я полагаю, я не могу просто закрыть порт 80, так как, когда приложение будет запущено, этот порт должен быть открыт.

Любая идея о том, как предотвратить этот сетевой трафик?

Большое спасибо

0 + 0

Джанго

амазон-веб-сервисы

апач-2.4

апач2

Рейтинг:1

Server

MLu

01.07.2023, 23:15

Есть много вариантов. Какой объем трафика вы ожидаете при нормальных обстоятельствах? И откуда (т.из каких стран)? Что делать, если сайт временно недоступен, имеет ли это значение? Наверное, не столько для блога, сколько для интернет-магазина. Также обратите внимание, что входящий трафик является бесплатным, поэтому вам нужно уменьшить исходящий трафик из облака.

Например, вы можете:

Соединения с ограничением скорости на порт 80 и 443 с каждого IP на некоторую разумно ожидаемую скорость + некоторый буфер и отбросить лишнее. Например, используя «недавний» модуль iptables. Это немного суровая, но дешевая мера, и она определенно уменьшит исходящий трафик.
Используйте CDN (сеть доставки контента) с WAF (брандмауэром веб-приложений). В AWS вы можете использовать CloudFront + AWS WAFили используйте сторонний сервис, например CloudFlare. Таким образом, вы можете заблокировать вредоносный / DoS-трафик до того, как он достигнет вашего веб-сервера.
Также поработайте над настройкой правильное кэширование настройки вашего сайта. Например, изображения, файлы JS и CSS, вероятно, могут быть кэшированы в течение многих дней или более, а динамические страницы, вероятно, не могут. При правильном кешировании ваши активы не нужно будет часто перезагружать с сервера, что еще больше уменьшит исходящий трафик.

Надеюсь, это поможет :)

0 + 0

Tim

02.07.2023, 00:58

Согласен с этим. Кроме того, во время разработки используйте группу безопасности для внесения в белый список своего IP-адреса. Допуск бесплатного трафика CloudFront также увеличился, кэширование поможет использовать эту пропускную способность. Вы также можете использовать CloudFront для внесения в белый или черный список определенных стран. Я также мог бы полностью заблокировать порт 80 и заставить весь трафик использовать https без перенаправления, веб-браузеры в любом случае будут сначала пытаться использовать https, если не указан http. Интересно, поможет ли установка ALB добавить дополнительный уровень защиты, но сомневаюсь, что это сильно поможет.

Ответить

Admin

Этот вопрос на других языках:

EN: Reduce amount of network traffic by filtering attackers in AWS

TH: ลดปริมาณการรับส่งข้อมูลเครือข่ายโดยการกรองผู้โจมตีใน AWS

RO: Reduceți cantitatea de trafic de rețea prin filtrarea atacatorilor în AWS

RU: Уменьшите объем сетевого трафика, отфильтровав злоумышленников в AWS

VI: Giảm lưu lượng mạng bằng cách lọc những kẻ tấn công trong AWS

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.