Ec2サービス拒否：DOS攻撃からクラウドベースのWebサイトを保護する

DOS攻撃を防ぐことはできず、軽減することしかできません。

• 小さな攻撃対象領域を維持します。使用していないサービスをオフにし、特定の場所からのみアクセスする必要があるポートへのアクセスをブロックし、デーモンが実行するスレッドの数について適切なデフォルトを持っていることを確認します。システムリソースが不足した場合の動作方法。
• トラフィックを監視します。トラフィックまたはリソースの負荷の急増に関する通知を受け取ったため、攻撃がいつ開始されるかを把握します。 sshデーモンまたはその他の安全なポートがスキャンされるときに注意してください。リクエストの繰り返しパターンに注意してください。物事がうまくいかなくなったときに、それらを詳細に分析できるように準備してください。
• 回避またはブロックどんなトラフィックでもできるだけ早く攻撃を構成します。攻撃のフィンガープリントを作成し、これらのタイプのリクエストを抑制する方法を見つけます。サービスに優先順位を付け、必要に応じて優先度の低いサービスを削除します。ハンカーダウンして、CDNから海岸がきれいになるまですべてを提供します。

まず、を区別する必要があります 「サービス拒否（DoS）」攻撃と「分散型サービス拒否（DDoS）」 攻撃。

あなたの質問はDoSに関するものなので、通常は次の方法でDoS攻撃から保護します。

• オペレーティングシステム、Webサーバー、メールサーバーなどを最新の状態に保ち、基盤となるOSおよびサービスに対するよく知られたリモートDoS攻撃が発生しないようにします。

• 独自のWebアプリケーションコードのセキュリティ監査を実行し、独自のWebアプリケーションコードの安全な開発プラクティスを実施します。自分のWebアプリケーションコードに対するリモートクラッシュ/リモートリソース不足/バッファオーバーフローなどの攻撃がないことを確認する必要があります。

• カレブが述べているように、小さな「攻撃対象領域」を持っています。インターネットトラフィックに応答するサービスをできるだけ少なくします。デフォルトですべての拒否ルールを使用してファイアウォールを設定し、必要なポートのみを開きます（Amazon EC2の 「セキュリティグループ」がこれを実行できます ）。

DoS攻撃に対するセキュリティを強化するためにできることはほぼ無制限にあります。本当の秘訣は、あなたが何をすべきかをしっかりと判断することです。上記のリストは妥当な出発点ですが、必要に応じてこのトピックについてさらに詳しく知ることができます。 Security.stackexchange.com 開始するのに悪い場所ではありません。

私はこれに CloudFlare を使用することを検討してきました。すべてのトラフィックはそれらを経由してルーティングされ、悪意のあるリクエストを監視してブロックします。主なセールスポイントは、さまざまなソースからの悪いトラフィックを監視するビジネスを行っているため、自分で特定する前に潜在的な脅威を特定できることです。

独自のインフラストラクチャをセットアップする代わりに非常に費用効果の高い方法のようですが、すべてのトラフィックをサードパーティ経由でルーティングすると速度が低下するかどうかはわかりません。

DDoSから完全に保護することはおそらく不可能であり、最善のアプローチは、DDoS攻撃者を可能な限りソースに近づけることです。私はそれを行う多くの製品を知りませんが、1つは無料で この記事 で説明されています。