Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Elastic Load Balancing (BP6)
Große DDoS Angriffe können die Kapazität einer einzelnen EC2 Amazon-Instance überfordern. Mit Elastic Load Balancing (ELB) können Sie das Risiko einer Überlastung Ihrer Anwendung reduzieren, indem Sie den Traffic auf viele Backend-Instances verteilen. Elastic Load Balancing kann automatisch skaliert werden, sodass Sie größere Volumen verwalten können, wenn Sie unerwartet zusätzlichen Traffic haben, z. B. aufgrund von Flash-Crowds oder DDoS Angriffen. Bei Anwendungen, die in einem Amazon erstellt wurdenVPC, sind je nach Anwendungstyp drei Typen ELBs zu berücksichtigen: Application Load Balancer (ALB), Network Load Balancer (NLB) und Classic Load Balancer (). CLB
Für Webanwendungen können Sie den Application Load Balancer verwenden, um den Datenverkehr auf der Grundlage von Inhalten weiterzuleiten und nur wohlgeformte Webanfragen anzunehmen. Application Load Balancer blockiert viele gängige DDoS Angriffe wie SYN Floods oder UDP Reflection-Angriffe und schützt so Ihre Anwendung vor dem Angriff. Application Load Balancer skaliert automatisch, um den zusätzlichen Datenverkehr zu absorbieren, wenn diese Art von Angriffen erkannt wird. Skalierungsaktivitäten aufgrund von Angriffen auf die Infrastrukturebene sind für AWS Kunden transparent und wirken sich nicht auf Ihre Rechnung aus.
Weitere Informationen zum Schutz von Webanwendungen mit Application Load Balancer finden Sie unter Erste Schritte mit Application Load Balancers.
Für HTTPS Anwendungen ohneHTTP//können Sie den Network Load Balancer verwenden, um den Datenverkehr mit extrem niedriger Latenz an Ziele (z. B. EC2 Amazon-Instances) weiterzuleiten. Eine wichtige Überlegung bei Network Load Balancer ist, dass TCP SYN jeglicher UDP Datenverkehr, der den Load Balancer auf einem gültigen Listener erreicht, an Ihre Ziele weitergeleitet und nicht absorbiert wird. Dies gilt jedoch nicht für TLS -listener, die die Verbindung beenden. TCP Für Network Load Balancer mit TCP Listenern empfehlen wir den Einsatz von Global Accelerator zum Schutz vor Überschwemmungen. SYN
Sie können Shield Advanced verwenden, um den DDoS Schutz für Elastic IP-Adressen zu konfigurieren. Wenn dem Network Load Balancer pro Availability Zone eine Elastic IP-Adresse zugewiesen wird, wendet Shield Advanced die entsprechenden DDoS Schutzmaßnahmen für den Network Load Balancer Balancer-Verkehr an.
Weitere Informationen zum Schutz TCP von UDP Anwendungen mit Network Load Balancer finden Sie unter Erste Schritte mit Network Load Balancer.
Anmerkung
Je nach Konfiguration der Sicherheitsgruppe muss die Ressource, die die Sicherheit zur Gruppierung verwendet, die Verbindungsverfolgung verwenden, um Informationen über den Datenverkehr zu verfolgen. Dies kann die Fähigkeit des Load Balancers beeinträchtigen, neue Verbindungen zu verarbeiten, da die Anzahl der verfolgten Verbindungen begrenzt ist.
Eine Sicherheitsgruppenkonfiguration, die eine Eingangsregel enthält, die Datenverkehr von einer beliebigen IP-Adresse akzeptiert (z. B. 0.0.0.0/0 oder::/0), aber keine entsprechende Regel hat, um den Antwortverkehr zuzulassen, veranlasst die Sicherheitsgruppe, Verbindungsverfolgungsinformationen zu verwenden, um das Senden des Antwortverkehrs zu ermöglichen. Im Falle eines DDoS Angriffs kann die maximale Anzahl nachverfolgter Verbindungen ausgeschöpft sein. Um die DDoS Resilienz Ihres öffentlich zugänglichen Application Load Balancer oder Classic Load Balancer zu verbessern, stellen Sie sicher, dass die mit Ihrem Load Balancer verknüpfte Sicherheitsgruppe so konfiguriert ist, dass sie keine Verbindungsverfolgung (nicht verfolgte Verbindungen) verwendet, sodass der Verkehrsfluss keinen Beschränkungen für die Verbindungsverfolgung unterliegt.
Konfigurieren Sie dazu Ihre Sicherheitsgruppe mit einer Regel, die es der eingehenden Regel ermöglicht, TCP Datenflüsse von einer beliebigen IP-Adresse (0.0.0.0/0oder::/0) zu akzeptieren, und fügen Sie eine entsprechende Regel in ausgehender Richtung hinzu, die es dieser Ressource ermöglicht, den Antwortverkehr zu senden (ausgehenden Bereich für jede IP-Adresse zulassen 0.0.0.0/0 oder::/0) für alle Ports (0-65535), sodass der Antwortverkehr auf der Grundlage der Sicherheitsgruppenregel und nicht auf der Grundlage von Tracking-Informationen zugelassen wird. Mit dieser Konfiguration unterliegen Classic und Application Load Balancer nicht den Grenzwerten für die vollständige Verbindungsverfolgung, die sich auf den Aufbau neuer Verbindungen zu seinen Load Balancer-Knoten auswirken können, und ermöglichen eine Skalierung auf der Grundlage der Zunahme des Datenverkehrs im Falle eines DDoS Angriffs. Weitere Informationen zu nicht verfolgten Verbindungen finden Sie unter: Verbindungsverfolgung von Sicherheitsgruppen: Unverfolgte Verbindungen.
Das Vermeiden der Verbindungsverfolgung von Sicherheitsgruppen hilft nur in Fällen, in denen der DDoS Datenverkehr von einer Quelle stammt, die von der Sicherheitsgruppe zugelassen ist. DDoS Datenverkehr von Quellen, die in der Sicherheitsgruppe nicht zulässig sind, hat keine Auswirkung auf die Verbindungsverfolgung. In diesen Fällen ist es nicht erforderlich, Ihre Sicherheitsgruppen neu zu konfigurieren, um die Verbindungsverfolgung zu vermeiden. Dies ist beispielsweise der Fall, wenn Ihre Sicherheitsgruppen-Zulassungsliste aus IP-Bereichen besteht, denen Sie ein hohes Maß an Vertrauen entgegenbringen, z. B. einer Unternehmensfirewall oder einem vertrauenswürdigen Ausgang oderVPN. IPs CDNs
