EC2 ELB и DOS атаки

Вы правы, что вы не можете использовать группы безопасности для блокировки трафика.

Если вы используете VPC, что и должно быть, то вы можете использовать сетевой ACL Amazon в качестве брандмауэра. Они разрешают правила DENY, поэтому вы можете блокировать трафик на блоке IP или CIDR.

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_ACLs.html http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html#VPC_Security_Comparison

Это случилось и со мной. Я думал об этом, и, хотя я не пытался его реализовать, я думаю, что для нас ответ - запустить экземпляр, на котором запущен выделенный брандмауэр перед серверами приложений. Таким образом, настоящие IP-адреса будут видны брандмауэру. Я постараюсь обновить это после того, как попытаюсь реализовать его с любыми проблемами, с которыми я столкнулся.

Не очень хорошее решение

Вы можете заблокировать IP-адрес от доступа к экземпляру EC2 с помощью apache или iis. Очевидно, это было бы непрактично для сотен случаев.

Этот вопрос тоже очень актуален: Блокировка IP за балансировщиком нагрузки

Я не верю, что это возможно иначе, чем то, которое вы описали на уровне ELB.

Вы можете использовать брандмауэр для каждого экземпляра (например, iptables), чтобы заблокировать определенные IP-адреса или даже установить ограничение на количество подключений в минуту / секунду для IP-адреса.

Таким образом, вы можете автоматически блокировать злоумышленников.

Также вы можете использовать такие инструменты, как Chef / Puppet, для распространения конфигурации вашего брандмауэра на каждый экземпляр.