Je souhaite prévenir les requêtes dont les noms de domaine sont inconnus sur mon Application Load Balancer dans Elastic Load Balancing (ELB).
Brève description
ELB surveille et gère les équilibreurs de charge qui traitent les requêtes client. En fonction du trafic vers votre application, ELB met à jour l'enregistrement DNS de l'équilibreur de charge lors de la mise à l’échelle. Ces mises à jour permettent d'enregistrer les adresses IP des nouvelles ressources dans l'enregistrement DNS. L'entrée DNS spécifie également la valeur de durée de vie (TTLS) de 60 secondes. Il est recommandé d'utiliser votre service DNS pour créer un enregistrement CNAME afin d'acheminer les requêtes vers votre équilibreur de charge. Vous pouvez également utiliser Amazon Route 53 pour utiliser un jeu d'enregistrements d'alias. Pour plus d'informations, consultez la section Routage du trafic vers un équilibreur de charge ELB.
Si les adresses IP sont spécifiées avec un enregistrement A dans la table DNS ou si elles sont accessibles au public, elles peuvent recevoir des requêtes HTTP. Les requêtes HTTP peuvent être reçues de n'importe quel hôte sur Internet, comme des sources malveillantes, des robots et des requêtes accidentelles envoyées vers une adresse IP incorrecte.
Résolution
Pour prévenir la réception par votre Application Load Balancer de requêtes provenant de noms de domaine inconnus, utilisez l'une des méthodes suivantes :
Surveiller les journaux d'accès de votre Application Load Balancer et bloquez les sources inconnues
Pour surveiller les journaux d'accès de votre Application Load Balancer afin de détecter les requêtes adressées au domaine non reconnu, vérifiez les champs client:port et user\ _agent. Ces champs vous fournissent plus de détails sur la requête, comme son origine.
Pour vous assurer que votre application reçoit du trafic uniquement en provenance de votre domaine, utilisez la règle d'écouteur relative à l’entête « host ». Lorsque vous utilisez cette règle, si l’entête « host » du client ne répond à aucune des règles d'écouteur, la règle d'écouteur par défaut s'applique.
Aussi, pour une solution immédiate, bloquez les adresses IP client qui génèrent des requêtes pour un domaine inconnu. Assurez-vous de bloquer les adresses IP dans les listes de contrôle d'accès au réseau (ACL).
Utiliser AWS WAF
Lorsque vous intégrez AWS WAF, les requêtes adressées à des domaines spécifiques que vous configurez sont acheminées vers la cible de votre Application Load Balancer. Pour intégrer AWS WAF, procédez comme suit :
- Créez une liste ACL Web.
- Associez votre liste ACL Web à votre Application Load Balancer.
- Ouvrez la console AWS WAF.
- Sur la page Ajouter des règles et des groupes de règles, sélectionnez Ajouter des règles > Ajouter mes propres règles et groupes de règles > Générateur de règles > Éditeur visuel de règles.
- Dans Nom, saisissez le nom que vous souhaitez utiliser pour identifier cette règle.
- Dans Type, sélectionnez Règle régulière.
- Pour S’il s’agit d’une requête, sélectionnez ne correspond pas à l’instruction (NON).
- Sur Instruction, pour Inspecter, sélectionnez la liste déroulante, puis En-tête unique. Lorsque vous sélectionnez En-tête, spécifiez l'hôte comme en-tête que vous voulez qu'AWS WAF inspecte.
- Pour Type de correspondance, sélectionnez Correspond à l'expression régulière. Cela permet à AWS WAF de faire correspondre un composant de requête à une unique expression régulière (regex).
- Pour Expression régulière, spécifiez les chaînes que vous voulez qu'AWS WAF recherche. Par exemple, saisissez ^.*example.com$|^.*test.com$. AWS WAF inspectera l'en-tête « host » dans les requêtes Web pour rechercher la valeur regex que vous avez spécifiée.
- Pour Transformation de texte, sélectionnez Aucune.
- Dans Action, sélectionnez l'action que vous voulez que la règle exécute lorsqu'une requête Web qui y correspond est trouvée. Par exemple, sélectionnez Bloquer et laissez les autres options telles quelles.
- Sélectionnez Ajouter une règle.
Utiliser AWS Network Firewall pour bloquer les requêtes dont les noms de domaine sont inconnus
Network Firewall prend en charge l'inspection du trafic réseau axée sur le nom de domaine. Vous pouvez créer des listes d'autorisation et des listes de refus avec des noms de domaine que le moteur de règles avec état recherche dans le trafic réseau. Avec une liste d’autorisation de domaine, le pare-feu transmet les requêtes HTTP ou HTTPS uniquement à des domaines spécifiques, et les requêtes adressées à des domaines non spécifiés sont supprimées.
Pour utiliser Network Firewall afin de bloquer les requêtes dont les noms de domaine sont inconnus, consultez la section Comment configurer mes règles Network Firewall pour bloquer ou autoriser des domaines spécifiques ?
Signaler un abus
Si vous pensez qu'une ressource AWS est utilisée à des fins abusives ou illégales, utilisez le formulaire Signaler un abus sur Amazon AWS. Assurez-vous de fournir les journaux réseau qui indiquent l'activité abusive et incluent la source, les adresses IP cible, les ports et les horodatages. Pour plus d'informations, consultez la section Comment signaler une utilisation abusive des ressources AWS ?
Informations connexes
Configurer un nom de domaine personnalisé pour votre Classic Load Balancer