如何在 ELB 中的应用程序负载均衡器上处置具有未知域名的请求?

2 分钟阅读
0

我想在弹性负载均衡 (ELB) 中的应用程序负载均衡器上处置具有未知域名的请求。

简短描述

ELB 会监控和管理那些处理客户端请求的负载均衡器。ELB 基于流向应用程序的流量对负载均衡器进行扩展,并更新负载均衡器的 DNS 记录。更新过程会在 DNS 记录中注册新资源的 IP 地址。DNS 条目还指定了 60 秒的生存时间值 (TTLS)。最佳实践是使用您的 DNS 服务来创建 CNAME 记录,以将查询路由到您的负载均衡器。您也可以使用 Amazon Route 53,以便使用别名记录集。有关更多信息,请参阅将流量路由到 ELB 负载均衡器

如果 IP 地址在 DNS 中的 A 记录中指定或者可以公开访问,就可以接收 HTTP 请求。接收到的 HTTP 请求可能来自互联网上的任何主机,例如恶意来源、机器人和针对不正确 IP 地址的随机请求集。

解决方法

要在应用程序负载均衡器上处置具有未知域名的请求,请使用以下方法之一:

监控您的应用程序负载均衡器访问日志并阻止未知来源

要监控应用程序负载均衡器访问日志,查找向无法识别的域发出的请求,请检查 client:portuser_agent 字段。这些字段会向您显示更多关于请求的详细信息,例如请求的来源。

要确保应用程序仅接收来自您的域的流量,请使用主机标头侦听器规则。使用此规则时,如果没有任何侦听器规则与客户端请求主机标头匹配,则应用默认侦听器规则。

此外,作为即时解决方案,您可以阻止生成未知域请求的客户端 IP 地址。这时请确保在网络访问控制列表 (ACL) 中阻止 IP 地址。

使用 AWS WAF

当您与 AWS WAF 集成时,凡是对由您配置的指定域的请求,将路由到您的应用程序负载均衡器目标。要与 AWS WAF 集成,请完成以下步骤:

  1. 创建 Web ACL
  2. 将您的 Web ACL 与应用程序负载均衡器关联起来。
  3. 打开 AWS WAF 控制台
  4. Add rules and rule groups(添加规则和规则组)页面上,选择 Add rules(添加规则)> Add my own rules and rule groups(添加我自己的规则和规则组)> Rule builder(规则生成器)> Rule visual editor(规则可视化编辑器)
  5. 对于 Name(名称),请输入要用来标识此规则的名称。
  6. 对于 Type(类型),选择 Regular rule(常规规则)。
  7. 对于 If a request(如果请求),选择 doesn't match the statement (NOT)(与语句不匹配 (NOT))。
  8. Statement(语句)中,对于 Inspect(检查),请选择下拉列表,然后选择 Single Header(单标头)。当您选择 Header(标头)时,请将 host(主机)指定为您希望 AWS WAF 检查的标头。
  9. 对于 Match type(匹配类型),请选择 Matches regular expression(匹配正则表达式)。这样,AWS WAF 就能将请求组件与单个正则表达式 (regex) 进行匹配。
  10. 对于 Regular expression(正则表达式),请指定您希望 AWS WAF 搜索的字符串。例如,输入 ^.*example.com$|^.*test.com$。AWS WAF 将检查 Web 请求中的主机标头是否匹配您指定的正则表达式值。
  11. 对于 Text transformation(文本转换),请设置为 None(无)。
  12. 对于 Action(操作),请选择您希望规则在与 Web 请求匹配时采取的操作。例如,选择 Block(阻止)并将其他选项保持原样。
  13. 选择 Add rule(添加规则)。

使用 AWS Network Firewall 来阻止具有未知域名的请求

Network Firewall 支持域名有状态网络流量检查。您可以创建包含域名的允许名单和拒绝名单,有状态规则引擎会在网络流量中查找这些域名。使用域允许名单时,防火墙仅将 HTTP 或 HTTPS 请求传递到指定域,并丢弃对非指定域的请求。

要使用 Network Firewall 阻止具有未知域名的请求,请参阅如何配置我的 Network Firewall 规则以阻止或允许特定的域?

举报滥用行为

如果您怀疑 AWS 资源遭到滥用或用于非法目的,请使用举报 Amazon AWS 滥用行为表单。请确保您提供的网络日志中显示了滥用行为,并包含来源、目标 IP 地址、端口和时间戳。有关更多信息,请参阅如何举报滥用 AWS 资源的情况?

相关信息

为经典负载均衡器配置自定义域名

AWS 官方
AWS 官方已更新 2 个月前