つい先日、どこぞのサーバからEC2のサーバに対してDosアタックを受けました。 別にある程度の攻撃を受けること自体は想定してサーバを公開していましたし、 Apache側ではmod_dosdetectorというDos攻撃をある程度受けた場合、検知出来る仕組みを用意していたので特に問題ない、、、と思っていました。 stanaka/mod_dosdetector · GitHub が、しかし。 Apache側で検知するということは、WEBサーバのリソースを結構食っちゃうんですよね…。 実際、普段5%以内で収まっていたCPU Usageが、攻撃を食らっている間50%オーバーをずっとマークしていました。 真ん中の跳ねてるグラフが攻撃受けてた期間ですね。 さすがに運営に支障が出るレベルだったので、出来ればWEBサーバの前に立っているELBにアクセス来た時点で、対象の攻撃者IPを弾いて欲しかったんですが
![AWSのEC2+ELBで、ロードバランサへのアクセス時点で特定IPからのアクセスを弾く - Hina-Mode](https://cdn-ak-scissors.b.st-hatena.com/image/square/97f5fe18e2fe71b9b0f62080cac0dc1a574b3ab5/height=288;version=1;width=512/http%3A%2F%2Fcdn-ak.f.st-hatena.com%2Fimages%2Ffotolife%2Fh%2Fhinashiki%2F20150219%2F20150219153950.png)