Amazon web services AWS自动缩放和DDoS攻击

我已经在AWS上与一个自动缩放组创建了一个ELB，我想知道当发生DDoS攻击时，自动缩放是如何工作的？它会一直扩展到我设定的极限吗？我如何保护我的AWS基础设施不受此影响？非常感谢。

DDOS的种类很多，自动缩放组不会隐式地从正常流量中识别DDOS攻击

假设您的缩放策略设置正确，则在发生DDOS攻击时，您的自动缩放组可能会增加（实例数量），因为这些实例正在接收大量流量和过载。（我说可能是因为所有应用程序对高流量和各种流量的响应略有不同。我使用过一些应用程序，这些应用程序在没有额外工程的情况下不能很好地使用扩展策略。此外，如果已经达到最大实例数，则不应继续增长）

问题是，没有什么可以区分真实流量和非真实流量，所以你的服务仍然会充斥着“虚假”的东西。一般目标是在DDOS流量到达应用程序实例之前对其进行“过滤”

也就是说，AWS有一些服务可以帮助抵御DDOS攻击：

具体来说，AWS Shield和AWS WAF允许您使用模式匹配或地理位置阻止等工具来拒绝攻击您的基础设施的不必要流量。不同的服务使用不同的缓解技术。如果您实施其中一些服务，它们将帮助您有效响应并降低成本，但我知道没有“一刀切”的方法

---

根据预算，您可以与其他组织和应用程序合作，为自己做好准备。对于您的第一个应用程序或您的组织刚刚起步的人，我不会太担心DDOS缓解。拥有并适应web应用程序防火墙/屏蔽是一个很好的起点，它可以带来许多其他好处，这些好处可能在早期更为相关。（良好的安全卫生、熟悉应用程序流量等）

DDOS有很多种，自动缩放组不会隐式地从正常流量中识别DDOS攻击

假设您的缩放策略设置正确，则在发生DDOS攻击时，您的自动缩放组可能会增加（实例数量），因为这些实例正在接收大量流量和过载。（我说可能是因为所有应用程序对高流量和各种流量的响应略有不同。我使用过一些应用程序，这些应用程序在没有额外工程的情况下不能很好地使用扩展策略。此外，如果已经达到最大实例数，则不应继续增长）

问题是，没有什么可以区分真实流量和非真实流量，所以你的服务仍然会充斥着“虚假”的东西。一般目标是在DDOS流量到达应用程序实例之前对其进行“过滤”

也就是说，AWS有一些服务可以帮助抵御DDOS攻击：

具体来说，AWS Shield和AWS WAF允许您使用模式匹配或地理位置阻止等工具来拒绝攻击您的基础设施的不必要流量。不同的服务使用不同的缓解技术。如果您实施其中一些服务，它们将帮助您有效响应并降低成本，但我知道没有“一刀切”的方法

---

根据预算，您可以与其他组织和应用程序合作，为自己做好准备。对于您的第一个应用程序或您的组织刚刚起步的人，我不会太担心DDOS缓解。拥有并适应web应用程序防火墙/屏蔽是一个很好的起点，它可以带来许多其他好处，这些好处可能在早期更为相关。（良好的安全卫生，熟悉应用程序流量等）

“对于您的第一个应用程序或您的组织刚刚起步的人，我不会太担心DDOS缓解”确切地说，这就是我所做的，我使用了UFW和Fail2ban等工具来保护我的服务器，但现在我开始使用自动缩放，我担心如何在更“复杂”的环境中处理这个问题。非常感谢您抽出时间来写这篇文章，我真的很感激。很高兴它有所帮助，保护云环境有很多（不一定是新的）考虑。我不太熟悉UFW，但通常这些设置会转换为安全组，这样AWS就负责在网络层进行阻塞，甚至不会让请求到达您的实例。看来你走对了，祝你愉快！“对于您的第一个应用程序或您的组织刚刚起步的人，我不会太担心DDOS缓解”确切地说，我就是这么做的，我使用UFW和Fail2ban等工具来保护我的服务器，但现在我开始使用自动缩放，我担心如何在更“复杂”的环境中处理这一问题。非常感谢您抽出时间来写这篇文章，我真的很感激。很高兴它有所帮助，保护云环境有很多（不一定是新的）考虑。我不太熟悉UFW，但通常这些设置会转换为安全组，这样AWS就负责在网络层进行阻塞，甚至不会让请求到达您的实例。看来你走对了，祝你愉快！