Рейтинг:1

Уменьшите объем сетевого трафика, отфильтровав злоумышленников в AWS

флаг cn

только что установил простое веб-приложение django в экземпляре AWS EC2. Экземпляр всегда включен, но на данный момент никем не используется (все еще находится в разработке). В последнее время AWS отчитывается о больших деньгах из-за сетевого трафика. Когда служба apache2 включена, через порт 80 проходит МНОГО трафика, и просмотр netstat выглядит как атака грубой силы, направленная внутрь приложения django.

Я полагаю, я не могу просто закрыть порт 80, так как, когда приложение будет запущено, этот порт должен быть открыт.

Любая идея о том, как предотвратить этот сетевой трафик?

Большое спасибо

Рейтинг:1
флаг id
MLu

Есть много вариантов. Какой объем трафика вы ожидаете при нормальных обстоятельствах? И откуда (т.из каких стран)? Что делать, если сайт временно недоступен, имеет ли это значение? Наверное, не столько для блога, сколько для интернет-магазина. Также обратите внимание, что входящий трафик является бесплатным, поэтому вам нужно уменьшить исходящий трафик из облака.

Например, вы можете:

  • Соединения с ограничением скорости на порт 80 и 443 с каждого IP на некоторую разумно ожидаемую скорость + некоторый буфер и отбросить лишнее. Например, используя «недавний» модуль iptables. Это немного суровая, но дешевая мера, и она определенно уменьшит исходящий трафик.

  • Используйте CDN (сеть доставки контента) с WAF (брандмауэром веб-приложений). В AWS вы можете использовать CloudFront + AWS WAFили используйте сторонний сервис, например CloudFlare. Таким образом, вы можете заблокировать вредоносный / DoS-трафик до того, как он достигнет вашего веб-сервера.

  • Также поработайте над настройкой правильное кэширование настройки вашего сайта. Например, изображения, файлы JS и CSS, вероятно, могут быть кэшированы в течение многих дней или более, а динамические страницы, вероятно, не могут. При правильном кешировании ваши активы не нужно будет часто перезагружать с сервера, что еще больше уменьшит исходящий трафик.

Надеюсь, это поможет :)

Tim avatar
флаг gp
Tim
Согласен с этим. Кроме того, во время разработки используйте группу безопасности для внесения в белый список своего IP-адреса. Допуск бесплатного трафика CloudFront также увеличился, кэширование поможет использовать эту пропускную способность. Вы также можете использовать CloudFront для внесения в белый или черный список определенных стран. Я также мог бы полностью заблокировать порт 80 и заставить весь трафик использовать https без перенаправления, веб-браузеры в любом случае будут сначала пытаться использовать https, если не указан http. Интересно, поможет ли установка ALB добавить дополнительный уровень защиты, но сомневаюсь, что это сильно поможет.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.