1. Accueil
  2. Question et réponse
  3. S3 et CloudFront -> comment Ddos et autres attaques affectent les factures -> comment protéger?

S3 et CloudFront -> comment Ddos et autres attaques affectent les factures -> comment protéger?

2016-08-04 3 views
3

Je construis une campagne Kickstarter/Indiegogo. C'est un projet sensible au budget, avec une compréhension limitée du serveur/AWS. Sur notre site de démonstration, nous afficherons des vidéos à 360 degrés qui proviendront d'Amazon S3 ou CloudFront, idéalement CloudFront.S3 et CloudFront -> comment Ddos et autres attaques affectent les factures -> comment protéger?

Nous avons un manque total de connaissances sur

1 - limiter nos factures AWS au cas où quelqu'un (ou un bot) a de mauvais motifs -> attaque notre projet

2 - comprendre exactement ce Ddos ou autre attaques peuvent faire à notre bande passante CloudFront

3 - comment l'URL signé, WAF et d'autres protections S3 ou CloudFront peuvent nous défendre?

4 - !!!

4A - Supposons que j'ai un fichier vidéo de 300 Mo sur CLoudFront. Si nous utilisons une URL signée ou une autre protection suggérée, le fichier vidéo de 300 Mo peut-il être attaqué et téléchargé une dizaine de fois, créant ainsi une facture massive? 4B - le fait que notre page Web ne soit pas sur Amazon AWS (c'est sur hostgator) et que l'utilisateur doit cliquer sur un bouton pour démarrer la vidéo CLoudFront, est-ce une semi-protection contre un téléchargement vidéo zillion?

5 - Si la vidéo est sur S3 et pas sur CloudFront (ce qui pourrait arriver pour d'autres raisons), comment pouvons-nous nous défendre?

6 - J'ai vraiment peur de tout cela et je pourrais peut-être opter pour un autre service où nous pourrions limiter notre utilisation par répartition, et tout arrêter si nous franchissons un montant prédéfini. Existe-t-il une alternative AWS qui peut le faire et convient à la lecture vidéo HD? 7 - comment arrêter immédiatement l'utilisation de CloudFront si nous remarquons que quelque chose ne va pas?

8 - Quelle est la fréquence de ces attaques? Gardez à l'esprit que le projet Kickstarter a un potentiel de décollage.

TOUTE aide est appréciée! Je vous remercie!

Source

2016-08-04 James

+0

AWS a des alertes de facturation cumulées et des services comme CloudFront ont des journaux. Allumez-les et utilisez-les. –

+0

Je suis au courant de l'alerte ---> 1) mais cela n'arrête pas le service au cas où la facture commence soudainement à monter en flèche et atteint une limite prédéfinie. 2) Que faire si nous sommes sur place pendant 2-3 jours pendant que je reçois cette alerte .. ne peut rien faire, peut-être que je ne vais même pas lire l'alerte jusqu'à ce qu'il soit trop tard. AZURE SPENDING LIMIT -> Je viens de lire qu'Azure va mettre en place des limites de dépenses, même sur le principe du Pay-as-you-go. Lorsque cela se produit, nous basculerons en une seconde d'Amazon vers Azure. Mais nous avons besoin d'une tranquillité d'esprit en ce moment, donc je ne suis pas sûr de ce qui est le meilleur. Je ne sais même pas quelle est la probabilité d'avoir de telles attaques? Une idée? – James

Répondre

1

Je vais vous suggérer d'implémenter le blocage d'IP en utilisant Cloudfront et AWS WAF où vous pouvez limiter ou bloquer l'adresse IP après qu'elle dépasse certaines limites. Les urls signées sont également une bonne stratégie mais l'heure d'expiration est là pour limiter la durée de vie de l'autorisation d'effectuer l'action autorisée par toute personne en possession de l'URL signée. AWS Cloud Front et WAF constituent donc votre meilleur tir contre l'attaque DDOS. Consultez ce guide pour plus d'informations sur la façon de le configurer.

https://docs.aws.amazon.com/waf/latest/developerguide/tutorials-rate-based-blocking.html

Source

2016-08-04 21:31:07 error2007s

1

Amazon S3 ne fournit aucune fonction de recouvrement des coûts pour se protéger contre les acteurs malveillants. Toute solution de blocage IP ne fonctionnera pas contre les DDOS qui, par nature, proviennent d'adresses IP largement distribuées. En outre, les fonctionnalités de reporting des coûts et d'avertissements budgétaires, disponibles sous S3, sont inefficaces par rapport à un DDOS synchronisé qui peut télécharger des dizaines de milliers de copies de votre fichier en quelques minutes.

La seule solution raisonnable que je peux voir est à la porte d'accès au fichier vidéo via une page de téléchargement sur votre serveur Web comme suit:

  1. Définir l'identité et l'accès Politique de gestion (IAM) pour votre vidéo fichier pour autoriser l'accès uniquement aux demandes provenant de votre serveur Web. Utilisez la directive de stratégie IpAddress pour cela. Voir pour plus de détails

http://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html

Note: vous passerez probablement quelques jours pour comprendre et tester les détails d'implémentation IAM. Il y a des utilitaires tiers qui pourraient aider à cet égard.

  1. Mettez un Captcha sur votre page de téléchargement
  2. Le visiteur résout le Captcha, et le serveur Web montre alors le lien vers le fichier vidéo S3 demandé.

Source

2016-08-13 13:10:01 Ninveh

+0

Merci! D'après votre expérience: A) Quelle est la fréquence de ces attaques, quelle est la probabilité que le site Web du projet de financement participatif soit attaqué? B) (!!) ces attaques ont-elles besoin de l'entrée des méchants, ou les robots automatisés peuvent aussi le faire aléatoirement (en choisissant simplement des sites au hasard) C) comment les badguys ciblent-ils leur prochaine victime? Ils attaquent principalement les grandes institutions, les acteurs connus, ou les plus petits? – James

 Questions connexes

  • Aucun problème connexe^_^