Nginxのlimit_req_moduleを使って自作のDoS攻撃対策をしてみた | SAVACAN
「SAVACAN」担当のMKです。 今回の記事では、NginxでDoS攻撃対策をする設定方法と動作確認結果を紹介します。 NginxのWEBサーバーとしての基本的な設定方法を理解している方向けの記事となっております。 初めにDoS攻撃とNginxの特徴について簡単に解説します。どうぞ。 DoS攻撃とは DoS攻撃(Denial of Service Attack)は日本語で「ドス攻撃」といいます。 攻撃対象となるWEBサーバーへ大量のデータを送ったり、アクセスを集中させることで過剰な負荷をかけ、処理遅延やサービスダウンを発生させる不正アクセス攻撃のひとつです。 データベースを利用しているシステムへDoS攻撃を行う事で、WEBサーバーだけでなくバックエンドのデータベースサーバーをダウンさせる場合もあります。 (犯罪です) 似たような攻撃にDDoS攻撃(Distributed Denial o
CloudFront=>ELB=>EC2(nginx) で、接続元 IP アドレスを取得する - Qiita
まとめ X-Forwarded-For ヘッダの右から 2 つ目が接続元 IP アドレスです。 ただし X-Forwarded-For の不正な書き換えを防止するため、 CloudFront=>ELB=>EC2 それぞれの通信を保護する必要があります。 CloudFront => ELB を保護する CloudFrontのELBオリジンへ直接アクセスする通信を制限する方法 | Developers.IO に詳しいです。 要約すると、 CloudFront のカスタムヘッダに秘密の文字列を設定し、 ELB や EC2 側でそれを検証する ELB のセキュリティグループで、 CloudFront の IP アドレスだけを許可するよう設定する (要定期更新) の 2 種類になります。 ELB => EC2(nginx) を保護する EC2 のセキュリティグループで、 ELB (もしくは ELB
remote_addrとかx-forwarded-forとかx-real-ipとか - Carpe Diem
背景 ECSでNginxのコンテナをプロキシとして立てたところ、APIサーバのアクセスログのクライアントIPがNginxのコンテナIPになっていたのでその修正をしたのがきっかけです。 環境 Nginx 1.10.2 Docker1.12.1 構成 Client -> ELB -> Nginx -> API という構成とします。 ネットでよく見る情報 set_real_ip_from 172.31.0.0/16; real_ip_header X-Forwarded-For; を追加する、とか proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; を追加する、とかどれがどれだか分かりにくいので1つ1つ説明していきます。 用語説明 remote_
Let’s Encryptにイントラサイトの証明書を発行してもらう | 純規の暇人趣味ブログ
Let's Encrypt、便利ですよね。無料でvalidな証明書が手に入るという事がこんなに便利だとは。 で、せっかく無料で発行できるんだから外部からのアクセスを遮断しているイントラなサーバーもこれを使いたい。という訳でイントラサイトでLet's Encryptの証明書を発行する方法を考えてみた。 Let's Encryptをイントラで Let's Encryptは入力したドメインに対してHTTPで特定のファイル(.well-known/)にアクセスする事で所有権の確認を行っています。 すなわち、イントラサイトなどの外部からのHTTPアクセスを遮断しているサーバでは証明書を取得する事が出来ません。 それとは別にDNS認証というものがありますが、これはこれで証明書発行時に提示されるトークンをDNSに登録する必要があり、Route53のような自動でレコードの更新が出来るDNSサーバーを利用し
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
