Liste des fonctionnalités AWS Shield DDoS d'atténuation - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Liste des fonctionnalités AWS Shield DDoS d'atténuation

Les principales caractéristiques de l' AWS Shield DDoSatténuation sont les suivantes :

  • Validation des paquets — Cela garantit que chaque paquet inspecté est conforme à une structure attendue et est valide pour son protocole. Les validations de protocole prises en charge incluent l'IP TCP (y compris l'en-tête et les options)UDP,ICMP,DNS, etNTP.

  • Listes de contrôle d'accès (ACLs) et shapers — An ACL évalue le trafic par rapport à des attributs spécifiques et supprime le trafic correspondant ou le mappe à un shaper. Le shaper limite le débit de paquets pour le trafic correspondant, en supprimant les paquets excédentaires afin de contenir le volume qui atteint la destination. AWS Shield les ingénieurs de détection et de Shield Response Team (SRT) peuvent fournir des allocations de débit dédiées au trafic attendu et des allocations de débit plus restrictives au trafic dont les attributs correspondent aux vecteurs d'DDoSattaque connus. Les attributs auxquels an ACL peut correspondre incluent le port, le protocole, les TCP drapeaux, l'adresse de destination, le pays source et les modèles arbitraires de la charge utile du paquet.

  • Notation de suspicion — Cela utilise les connaissances que Shield possède du trafic attendu pour appliquer un score à chaque paquet. Les paquets qui suivent de plus près les modèles de trafic dont on sait qu'ils sont bons se voient attribuer un score de suspicion inférieur. L'observation d'attributs de trafic défectueux connus peut augmenter le score de suspicion d'un paquet. Lorsqu'il est nécessaire de limiter le débit des paquets, Shield supprime d'abord les paquets présentant des scores de suspicion plus élevés. Cela permet à Shield d'atténuer à la fois les attaques connues et les DDoS attaques de type « jour zéro » tout en évitant les faux positifs.

  • TCPSYNproxy — Cela fournit une protection contre TCP SYN les inondations en envoyant TCP SYN des cookies pour contester les nouvelles connexions avant de les autoriser à passer au service protégé. Le TCP SYN proxy fourni par Shield DDoS Mitigation est apatride, ce qui lui permet d'atténuer les plus grandes attaques d'TCPSYNinondation connues sans atteindre l'épuisement de l'État. Ceci est réalisé en intégrant les AWS services pour transférer l'état de connexion au lieu de maintenir un proxy continu entre le client et le service protégé. TCPSYNle proxy est actuellement disponible sur Amazon CloudFront et Amazon Route 53.

  • Distribution du débit — Cela ajuste en permanence les valeurs du shaper par emplacement en fonction du schéma d'entrée du trafic vers une ressource protégée. Cela permet d'éviter de limiter le débit du trafic client susceptible de ne pas pénétrer uniformément sur le AWS réseau.