Erkennungsmetriken Kennzahlen zur Schadensbegrenzung Metriken der wichtigsten Mitwirkenden

AWS Shield Advanced Metriken

Shield Advanced veröffentlicht Statistiken zur CloudWatch Erkennung und Abwehr von Amazon und zu den wichtigsten Mitwirkenden für alle Ressourcen, die es schützt. Diese Kennzahlen verbessern Ihre Fähigkeit, Ihre Ressourcen zu überwachen, indem sie es ermöglichen, CloudWatch Dashboards und Alarme für sie zu erstellen und zu konfigurieren.

Die Shield Advanced-Konsole präsentiert Zusammenfassungen vieler der von ihr aufgezeichneten Metriken. Weitere Informationen finden Sie unter Einblick in DDoS-Ereignisse.

Wenn Sie die automatische DDoS-Abwehr auf Anwendungsebene für den Schutz auf Anwendungsebene aktivieren,

Standorte für die Berichterstattung anhand von Kennzahlen

Shield Advanced meldet Kennzahlen für die Region USA Ost (Nord-Virginia) us-east-1 für Folgendes:

Die globalen Dienste Amazon CloudFront und Amazon Route 53.
Schutzgruppen. Informationen zu Schutzgruppen finden Sie unterAWS Shield Advanced Schutzgruppen.

Für andere Ressourcentypen meldet Shield Advanced Metriken in der Region der Ressource.

Zeitpunkt der Metrikberichterstattung

Shield Advanced meldet CloudWatch Amazon bei DDoS-Ereignissen häufiger Kennzahlen zu einer AWS Ressource als zu Zeiten, in denen keine Ereignisse im Gange sind. Shield Advanced meldet Metriken einmal pro Minute während eines Ereignisses und dann einmal direkt nach dem Ende des Ereignisses.

Solange keine Ereignisse im Gange sind, meldet Shield Advanced Metriken einmal täglich zu einer der Ressource zugewiesenen Zeit. Durch diesen regelmäßigen Bericht bleiben die Messwerte aktiv und können in benutzerdefinierten CloudWatch Alarmen und Dashboards verwendet werden.

Empfehlungen für Alarme

Wir empfehlen Ihnen, Alarme einzurichten, um Sie über Umstände zu informieren, die Ihre Aufmerksamkeit erfordern. Als Ausgangspunkt könnten Sie für jede geschützte Ressource einen Alarm erstellen, der meldet, wenn die DDoSDetected Erkennungsmetrik ungleich Null ist. Ein Wert ungleich Null in dieser Metrik bedeutet nicht unbedingt, dass ein DDoS-Angriff im Gange ist. Wir empfehlen jedoch, den Ressourcenstatus genauer zu untersuchen, wenn sich die Metrik in diesem Status befindet.

Bei einer Flut von Anfragen empfehlen wir, Alarme für kombinierte Prüfungen zu erstellen, bei denen auch Faktoren wie der Zustand der Anwendung und das Volumen der Webanfragen berücksichtigt werden. Sie können sich dafür entscheiden, den Alarm anhand der anderen drei Messwerte zu aktivieren, die das Datenverkehrsvolumen für verschiedene Angriffsvektor-Dimensionen angeben. Indem Sie die Kapazität Ihrer Anwendung berücksichtigen und Sie alarmieren, wenn sich der Datenverkehr Ihren Anwendungsbeschränkungen nähert, können Sie eine Reihe von Regeln erstellen, die Sie bei Bedarf benachrichtigen, ohne dass zu viel unerwünschtes Rauschen entsteht.

Erkennungsmetriken

Shield Advanced stellt die Metriken und Dimensionen im AWS/DDoSProtection Namespace bereit.

Erkennungsmetriken
Metrik	Beschreibung
`DDoSDetected`	Gibt an, ob ein DDoS-Ereignis für einen bestimmten Amazon Resource Name (ARN) stattfindet. Diese Metrik hat während eines Ereignisses einen Wert ungleich Null.
`DDoSAttackBitsPerSecond`	Die Anzahl an Bits, die während eines DDoS-Ereignisses für einen bestimmten Amazon-Ressourcennamen (ARN) erfasst wurden. Diese Metrik ist nur für DDoS-Ereignisse auf Netzwerk- und Transportschicht (Layer 3 und Layer 4) verfügbar. Diese Metrik hat während eines Ereignisses einen Wert ungleich Null. Einheiten: Bits
`DDoSAttackPacketsPerSecond`	Die Anzahl an Paketen, die während eines DDoS-Ereignisses für einen bestimmten Amazon-Ressourcennamen (ARN) erfasst wurden. Diese Metrik ist nur für DDoS-Ereignisse auf Netzwerk- und Transportschicht (Layer 3 und Layer 4) verfügbar. Diese Metrik hat während eines Ereignisses einen Wert ungleich Null. Einheiten: Pakete
`DDoSAttackRequestsPerSecond`	Die Anzahl an Abfragen, die während eines DDoS-Ereignisses für einen bestimmten Amazon-Ressourcennamen (ARN) erfasst wurden. Diese Metrik ist nur für Layer 7-DDoS-Ereignisse verfügbar. Diese Metrik wird nur für die wichtigsten Layer 7-Ereignisse gemeldet. Diese Metrik hat während eines Ereignisses einen Wert ungleich Null. Einheiten: Abfragen

Shield Advanced veröffentlicht die DDoSDetected Metrik ohne andere Dimensionen. Die verbleibenden Erkennungsmetriken umfassen die AttackVector Dimensionen, die der Art des Angriffs entsprechen, aus der folgenden Liste:

ACKFlood
ChargenReflection
DNSReflection
GenericUDPReflection
MemcachedReflection
MSSQLReflection
NetBIOSReflection
NTPReflection
PortMapper
RequestFlood
RIPReflection
SNMPReflection
SSDPReflection
SYNFlood
UDPFragment
UDPTraffic
UDPReflection

Kennzahlen zur Schadensbegrenzung

Shield Advanced stellt Metriken und Dimensionen im AWS/DDoSProtection Namespace bereit.

Metriken zur Risikominderung
Metrik	Beschreibung
`VolumePacketsPerSecond`	Die Anzahl der Pakete pro Sekunde, die im Rahmen einer Schadensbegrenzung, die als Reaktion auf ein erkanntes Ereignis eingesetzt wurde, verworfen oder weitergeleitet wurden. Einheiten: Pakete

Dimensionen der Schadensbegrenzung
Dimension	Beschreibung
`ResourceArn`	Amazon-Ressourcenname (ARN)
`MitigationAction`	Das Ergebnis einer angewandten Schadensbegrenzung. Die möglichen Wert sind `Pass` oder `Drop`.

Kennzahlen der wichtigsten Mitwirkenden

Shield Advanced stellt Metriken im AWS/DDoSProtection Namespace bereit.

Metriken der wichtigsten Mitwirkenden
Metrik	Beschreibung
`VolumePacketsPerSecond`	Die Anzahl der Pakete pro Sekunde für einen Top-Beitragenden. Einheiten: Pakete
`VolumeBitsPerSecond`	Die Anzahl der Bits pro Sekunde für einen Top-Beitragenden. Einheiten: Bits

Shield Advanced veröffentlicht Kennzahlen zu den wichtigsten Mitwirkenden nach Dimensionskombinationen, die die Mitwirkenden der Veranstaltung charakterisieren. Sie können jede der folgenden Kombinationen von Dimensionen für alle Kennzahlen der wichtigsten Mitwirkenden verwenden:

ResourceArn, Protocol
ResourceArn, Protocol, SourcePort
ResourceArn, Protocol, DestinationPort
ResourceArn, Protocol, SourceIp
ResourceArn, Protocol, SourceAsn
ResourceArn, TcpFlags

Dimensionen der wichtigsten Mitwirkenden
Dimension	Beschreibung
`ResourceArn`	Amazon-Ressourcenname (ARN).
`Protocol`	IP-Protokollname, entweder `TCP` oder`UDP`.
`SourcePort`	Quell-TCP- oder UDP-Port.
`DestinationPort`	Ziel-TCP- oder UDP-Port.
`SourceIp`	Quell-IP-Adresse.
`SourceAsn`	Nummer des autonomen Quellsystems (ASN).
`TcpFlags`	Eine Kombination von Flags, die in einem TCP-Paket vorhanden sind und durch einen Bindestrich (`-`) getrennt sind. Überwachte Flags sind `ACKFIN`,,`RST`,`SYN`. Dieser Dimensionswert wird immer alphabetisch sortiert angezeigt. Beispiel: `ACK-FIN-RST-SYN`, `ACK-SYN` und `FIN-RST`.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

AWS WAF Metriken und Dimensionen

AWS Firewall Manager Benachrichtigungen