通常我们使用iptables
来黑名单IP地址。但在亚马逊EC2中,如果连接经过弹性负载均衡器,则远程地址将被负载均衡器的地址替代,使iptables
无用。对于HTTP来说,似乎找出真正的远程地址的唯一方法是查看HTTP头HTTP_X_FORWARDED_FOR
。对我而言,在Web应用程序级别阻止IP并不是一种有效的方式。
在这种情况下,如何最好地防御DoS攻击?
在这篇文章中,有人建议我们可以用HAProxy替换Elastic Load Balancer。然而,这样做存在某些缺点,我正在尝试看是否有更好的替代方案。