CloudFront - Пользователи запрашивают статические файлы без остановок сделать Ваш счет высоко?
Один из приемов здесь должен гарантировать, что эти две зоны передают от корректных представлений. Если Вы имеете зону "example.com" и во внутренних и во внешних представлениях, говорите серверам передавать от внутренних и внешних IP-адресов как ведущие устройства (на ведомых устройствах) выбор корректного внутреннего/внешнего для каждого.
Вы, возможно, также должны явно сказать, что BIND к "также - уведомляет" представление (представления) ведомого устройства также для каждой зоны.
Конечно - это называется «Экономическое отрицание устойчивости». С этим ничего не поделать. Не ожидайте, что какой-либо провайдер CDN, который выставляет счет побайтно, будет активно применять какие-либо контрмеры, потому что в их интересах обслуживать (и выставлять вам счет) как можно больше трафика.
Ответ немного устарел. В 2017 году CloudFront предлагает защиту DOS с помощью AWS Shield . Уровень Standard предлагается бесплатно всем клиентам AWS, включая CloudFront. Чтобы получить дополнительные функции, вы можете перейти на AWS Shield Advanced. Из документации:
AWS Shield - это управляемый распределенный отказ в обслуживании (DDoS). сервис защиты, который защищает веб-приложения, работающие на AWS. AWS Shield обеспечивает постоянное обнаружение и автоматическое встроенное меры, которые минимизируют время простоя и задержку приложений, поэтому Нет необходимости привлекать AWS Support, чтобы воспользоваться защитой от DDoS-атак. AWS Shield бывает двух уровней: стандартный и расширенный.
Все клиенты AWS получают преимущества от автоматической защиты AWS Shield. Стандарт, без дополнительной оплаты. AWS Shield Standard защищает от наиболее распространенные, часто встречающиеся DDoS-атаки сетевого и транспортного уровня атаки, нацеленные на ваш веб-сайт или приложения.
Для более высокого уровня защиты от атак, нацеленных на вашу сеть приложения, работающие на Elastic Load Balancing (ELB), Amazon CloudFront и Amazon Route 53, вы можете подписаться на AWS. Щит Advanced. В дополнение к общему сетевому и транспортному уровню средства защиты, входящие в стандартную комплектацию, AWS Shield Advanced обеспечивает дополнительное обнаружение и смягчение последствий больших и сложных DDoS-атаки, видимость атак почти в реальном времени и интеграция с AWS WAF, межсетевым экраном веб-приложений. AWS Shield Advanced также дает вам доступ к команде AWS DDoS Response (DRT) и защите против всплесков DDoS-атак в вашем ELB, CloudFront или Route 53
AWS Shield Advanced доступен по всему миру на всех Amazon CloudFront и Amazon Route 53 периферийных местоположений. Вы можете защитить свои веб-приложения размещается в любой точке мира за счет предварительного развертывания Amazon CloudFront вашего приложения. Вашими исходными серверами могут быть Amazon S3, Amazon EC2, Elastic Load Balancing или собственный сервер вне AWS. Вы можете также включите AWS Shield Advanced непосредственно в Elastic Load Balancing в следующие регионы AWS - Северная Вирджиния, Орегон, Ирландия и Токио.
Для CloudFront также доступны индивидуальные сетевые политики, если вам нравится делать что-то вручную.