我们通常使用iptables将IP地址列入黑名单。但是在Amazon EC2中，如果连接通过Elastic Load Balancer，则远程地址将被负载均衡器的地址替换，从而使iptables无效。对于HTTP，显然，找出真正的远程地址的唯一方法是查看HTTP header HTTP_X_FORWARDED_FOR。对我来说，在Web应用程序级别上阻止IP并不是一种有效的方法。

在这种情况下，抵御DoS攻击的最佳实践是什么？

In this article，有人建议我们可以用HAProxy代替Elastic Load Balancer。但是，这样做有一些缺点，我正在尝试看看是否有更好的选择。

我认为您已经描述了所有当前选项。您可能希望加入一些AWS论坛主题以投票支持解决方案-亚马逊工程师和管理人员乐于接受有关ELB改进的建议。