我在AWS上创建了一个带有自动缩放组的ELB,我想知道当DDoS攻击发生时自动缩放是如何工作的?是否会扩大到我设定的限制之后?如何保护我的AWS基础架构不受此影响?非常感谢。
答案 0 :(得分:3)
DDOS种类繁多,自动缩放组无法隐式识别正常流量的DDOS攻击。
假设您的扩展策略设置正确,则在发生DDOS攻击时,您的自动扩展组 MAY 会增加(实例数),因为实例正在接收大量流量和超载。 (我想说可能是因为所有应用程序对大量流量和各种流量的响应略有不同。我使用的应用程序在没有额外工程的情况下无法很好地使用扩展策略。此外,如果已达到最大实例数,则不应继续成长)。
问题在于没有什么可以区分真实流量和非真实流量,因此您的服务仍然充斥着“虚假”的东西。总体目标是在DDOS流量到达应用程序实例之前对其进行“过滤”。
话虽如此,AWS提供了一些帮助抵御DDOS攻击的服务:
https://aws.amazon.com/answers/networking/aws-ddos-attack-mitigation/
具体而言,AWS Shield和AWS WAF允许您使用模式匹配或地理位置阻止等工具来阻止有问题的流量攻击您的基础架构。不同的服务使用不同的缓解技术。如果您实施其中一些服务,它们将帮助您有效地做出回应并降低成本,但我并不知道“一刀切”的方法。
根据预算,您可以与其他组织和应用程序一起做好准备。对于这是您的第一个应用程序或您的组织刚刚开始的人,我不会过分担心DDOS缓解。拥有并熟悉Web应用程序防火墙/防护罩是一系列其他好处的良好起点,这些好处可能与早期相关。 (良好的安全卫生,熟悉应用程序流量等)