Lista de características de AWS Shield DDoS mitigación - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Lista de características de AWS Shield DDoS mitigación

Las principales características de la AWS Shield DDoS mitigación son las siguientes:

  • Validación de paquetes: esto garantiza que cada paquete inspeccionado se ajuste a la estructura esperada y sea válido para su protocolo. Las validaciones de protocolo compatibles incluyen IP, TCP (incluidos el encabezado y las opciones),UDP, ICMPDNS, y. NTP

  • Listas de control de acceso (ACLs) y modeladores: An ACL evalúa el tráfico en función de atributos específicos y descarta el tráfico coincidente o lo asigna a un modelador. El modelador limita la velocidad de paquetes para el tráfico coincidente y elimina el exceso de paquetes para contener el volumen que llega al destino. AWS Shield Los ingenieros de detección y Shield Response Team (SRT) pueden proporcionar asignaciones de tarifas dedicadas al tráfico esperado y asignaciones de tarifas más restrictivas al tráfico con atributos que coincidan con los vectores de DDoS ataque conocidos. Los atributos que ACL pueden coincidir incluyen el puerto, el protocolo, los TCP indicadores, la dirección de destino, el país de origen y los patrones arbitrarios de la carga útil del paquete.

  • Puntuación de sospecha: utiliza el conocimiento que Shield tiene sobre el tráfico esperado para aplicar una puntuación a cada paquete. A los paquetes que se ajustan más a los patrones de tráfico conocidos como seguros se les asigna una puntuación de sospecha más baja. La observación de los atributos de tráfico conocidos como maliciosos puede aumentar la puntuación de sospecha de un paquete. Cuando es necesario limitar la tasa de los paquetes, Shield descarta primero los paquetes con puntuaciones de sospecha más altas. Esto ayuda a Shield a mitigar los DDoS ataques conocidos y de día cero y, al mismo tiempo, a evitar los falsos positivos.

  • TCPSYNproxy: proporciona protección contra TCP SYN las inundaciones al enviar TCP SYN cookies para desafiar las nuevas conexiones antes de permitir que pasen al servicio protegido. El TCP SYN proxy proporcionado por Shield DDoS Mitigation no tiene estado, lo que le permite mitigar los mayores ataques de TCP SYN inundación conocidos sin llegar al agotamiento del estado. Esto se logra mediante la integración con AWS los servicios para transferir el estado de la conexión en lugar de mantener un proxy continuo entre el cliente y el servicio protegido. TCPSYNEl proxy está disponible actualmente en Amazon CloudFront y Amazon Route 53.

  • Distribución de tasa: ajusta continuamente los valores del modelador por ubicación según el patrón de entrada del tráfico hacia un recurso protegido. Esto evita limitar la velocidad del tráfico de clientes que podrían no ingresar a la AWS red de manera uniforme.