Caractéristiques d'atténuation - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Caractéristiques d'atténuation

Les principales caractéristiques de l'atténuation des AWS Shield attaques DDoS sont les suivantes :

  • Validation des paquets — Cela garantit que chaque paquet inspecté est conforme à une structure attendue et est valide pour son protocole. Les validations de protocole prises en charge incluent IP, TCP (y compris l'en-tête et les options), UDP, ICMP, DNS et NTP.

  • Listes de contrôle d'accès (ACL) et shapers : une ACL évalue le trafic par rapport à des attributs spécifiques et supprime le trafic correspondant ou le mappe à un shaper. Le shaper limite le débit de paquets pour le trafic correspondant, en supprimant les paquets excédentaires afin de contenir le volume qui atteint la destination. AWS Shield les ingénieurs de détection et de Shield Response Team (SRT) peuvent fournir des allocations de débit dédiées au trafic attendu et des allocations de débit plus restrictives au trafic dont les attributs correspondent aux vecteurs d'attaque DDoS connus. Les attributs auxquels une ACL peut correspondre incluent le port, le protocole, les indicateurs TCP, l'adresse de destination, le pays source et les modèles arbitraires de la charge utile du paquet.

  • Notation de suspicion — Cela utilise les connaissances que Shield possède du trafic attendu pour appliquer un score à chaque paquet. Les paquets qui suivent de plus près les modèles de trafic dont on sait qu'ils sont bons se voient attribuer un score de suspicion inférieur. L'observation d'attributs de trafic défectueux connus peut augmenter le score de suspicion d'un paquet. Lorsqu'il est nécessaire de limiter le débit des paquets, Shield supprime d'abord les paquets présentant des scores de suspicion plus élevés. Cela permet à Shield d'atténuer à la fois les attaques DDoS connues et les attaques DDoS de type « jour zéro », tout en évitant les faux positifs.

  • Proxy TCP SYN : il fournit une protection contre les inondations TCP SYN en envoyant des cookies TCP SYN pour contester les nouvelles connexions avant de les autoriser à passer au service protégé. Le proxy TCP SYN fourni par Shield DDoS mitigation est apatride, ce qui lui permet d'atténuer les plus grandes attaques TCP SYN connues sans atteindre l'état d'épuisement. Ceci est réalisé en intégrant les AWS services pour transférer l'état de connexion au lieu de maintenir un proxy continu entre le client et le service protégé. Le proxy TCP SYN est actuellement disponible sur Amazon et CloudFront Amazon Route 53.

  • Distribution du débit — Cela ajuste en permanence les valeurs du shaper par emplacement en fonction du schéma d'entrée du trafic vers une ressource protégée. Cela permet d'éviter de limiter le débit du trafic client susceptible de ne pas pénétrer uniformément sur le AWS réseau.