Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Métriques et alarmes
Il est recommandé d'utiliser des outils de surveillance de l'infrastructure et des applications pour vérifier la disponibilité de votre application afin de vous assurer qu'elle n'est pas affectée par un DDoS événement. En option, vous pouvez configurer des contrôles de santé de l'application et de l'infrastructure Route 53 pour les ressources afin d'améliorer la détection des DDoS événements. Pour plus d'informations sur les contrôles de santé AWS WAF, consultez le guide du développeur Firewall Manager and Shield Advanced.
Lorsqu'un indicateur opérationnel clé s'écarte considérablement de la valeur attendue, il se peut qu'un attaquant tente de cibler la disponibilité de votre application. La connaissance du comportement normal de votre application vous permet d'agir plus rapidement lorsque vous détectez une anomalie. Amazon CloudWatch peut vous aider en surveillant les applications que vous exécutez AWS. Par exemple, vous pouvez collecter et suivre des métriques, collecter et surveiller des fichiers journaux, définir des alarmes et répondre automatiquement aux modifications de vos AWS ressources.
Si vous suivez l'architecture de référence DDoS résiliente lors de l'architecture de votre application, les attaques courantes au niveau de la couche d'infrastructure seront bloquées avant d'atteindre votre application. Si vous êtes abonné AWS Shield Advanced, vous avez accès à un certain nombre de CloudWatch statistiques qui peuvent indiquer que votre application est ciblée.
Par exemple, vous pouvez configurer des alarmes pour vous avertir lorsqu'une DDoS attaque est en cours, afin de vérifier l'état de santé de votre application et de décider si vous souhaitez y participer AWS SRT. Vous pouvez configurer la DDoSDetected métrique pour savoir si une attaque a été détectée. Si vous souhaitez être alerté en fonction du volume d'attaques, vous pouvez également utiliser les DDoSAttackRequestsPerSecond métriques DDoSAttackBitsPerSecondDDoSAttackPacketsPerSecond, ou. Vous pouvez surveiller ces indicateurs en les intégrant CloudWatch à vos propres outils ou en utilisant des outils fournis par des tiers, tels que Slack ou PagerDuty.
Une attaque au niveau de la couche applicative peut augmenter de nombreux CloudWatch indicateurs Amazon. Si vous en utilisez AWS WAF, vous pouvez l'utiliser CloudWatch pour surveiller et activer des alarmes en cas d'augmentation du nombre de demandes que vous avez définies AWS WAF pour être autorisées, comptées ou bloquées. Cela vous permet de recevoir une notification si le niveau de trafic dépasse ce que votre application peut gérer. Vous pouvez également utiliser les métriques Amazon CloudFront, Amazon Route 53, Application Load Balancer, Network Load Balancer, EC2 Amazon et Auto Scaling qui sont CloudWatch suivies pour détecter les modifications susceptibles DDoS d'indiquer une attaque.
Le tableau suivant décrit les CloudWatch indicateurs couramment utilisés pour détecter les DDoS attaques et y réagir.
Tableau 3 : CloudWatch Indications Amazon recommandées
| Rubrique | Métrique | Description |
|---|---|---|
| AWS Shield Advanced |
DDoSDetected
|
Indique un DDoS événement pour un nom de ressource Amazon spécifique (ARN). |
| AWS Shield Advanced |
DDoSAttackBitsPerSecond
|
Le nombre d'octets observés lors d'un DDoS événement pour un événement spécifiqueARN. Cette métrique n'est disponible que pour les DDoS événements de couche 3 ou 4. |
| AWS Shield Advanced |
DDoSAttackPacketsPerSecond
|
Le nombre de paquets observés lors d'un DDoS événement pour un événement spécifiqueARN. Cette métrique n'est disponible que pour les DDoS événements de couche 3 ou 4. |
| AWS Shield Advanced |
DDoSAttackRequestsPerSecond
|
Le nombre de demandes observées lors d'un DDoS événement pour un sujet spécifiqueARN. Cette métrique n'est disponible que pour les DDoS événements de couche 7 et n'est signalée que pour les événements de couche 7 les plus importants. |
| AWS WAF |
AllowedRequests
|
Nombre de requêtes Web autorisées. |
| AWS WAF |
BlockedRequests
|
Nombre de requêtes Web bloquées. |
| AWS WAF |
CountedRequests
|
Nombre de requêtes Web comptabilisées. |
| AWS WAF |
PassedRequests
|
Le nombre de demandes passées. Ceci n'est utilisé que pour les demandes soumises à une évaluation de groupe de règles sans correspondre à aucune des règles du groupe de règles. |
| Amazon CloudFront |
Requests
|
Le nombre de HTTP requêtes /S. |
| Amazon CloudFront |
TotalErrorRate
|
Pourcentage de toutes les demandes pour lesquelles le code de HTTP statut est 4xx ou5xx. |
| Amazon Route 53 |
HealthCheckStatus
|
État du point de terminaison du bilan de santé. |
| Application Load Balancer |
ActiveConnectionCount
|
Nombre total de TCP connexions simultanées actives entre les clients et l'équilibreur de charge, et entre l'équilibreur de charge et les cibles. |
| Application Load Balancer |
ConsumedLCUs
|
Le nombre d'unités de capacité de l'équilibreur de charge (LCU) utilisées par votre équilibreur de charge. |
| Application Load Balancer |
HTTPCode_ELB_4XX_Count
HTTPCode_ELB_5XX_Count |
Le nombre de codes HTTP 4xx d'erreur 5xx client générés par l'équilibreur de charge. |
| Application Load Balancer |
NewConnectionCount
|
Nombre total de nouvelles TCP connexions établies entre les clients et l'équilibreur de charge, et entre l'équilibreur de charge et les cibles. |
| Application Load Balancer |
ProcessedBytes
|
Nombre total d'octets traités par l'équilibreur de charge. |
| Application Load Balancer |
RejectedConnectionCount
|
Nombre de connexions rejetées parce que l'équilibreur de charge a atteint le nombre maximal de connexions. |
| Application Load Balancer |
RequestCount
|
Le nombre de demandes traitées. |
| Application Load Balancer |
TargetConnectionErrorCount
|
Nombre de connexions qui n'ont pas été établies avec succès entre l'équilibreur de charge et la cible. |
| Application Load Balancer |
TargetResponseTime
|
Temps écoulé, en secondes, entre le moment où la demande a quitté l'équilibreur de charge et la réception d'une réponse de la cible. |
| Application Load Balancer |
UnHealthyHostCount
|
Nombre de cibles considérées non saines. |
| Network Load Balancer |
ActiveFlowCount
|
Le nombre total de TCP flux (ou connexions) simultanés entre les clients et les cibles. |
| Network Load Balancer |
ConsumedLCUs
|
Le nombre d'unités de capacité de l'équilibreur de charge (LCU) utilisées par votre équilibreur de charge. |
| Network Load Balancer |
NewFlowCount
|
Le nombre total de nouveaux TCP flux (ou connexions) établis entre les clients et les cibles au cours de la période. |
| Network Load Balancer |
ProcessedBytes
|
Nombre total d'octets traités par l'équilibreur de charge, y compris les en-têtes TCP /IP. |
| Global Accelerator |
NewFlowCount
|
Le nombre total de nouveaux UDP flux (ou connexions) établis entre les clients TCP et les points de terminaison au cours de la période. |
| Global Accelerator |
ProcessedBytesIn
|
Nombre total d'octets entrants traités par l'accélérateur, y compris les en-têtes TCP /IP. |
| Auto Scaling |
GroupMaxSize
|
Taille maximale du groupe Auto Scaling. |
| Amazon EC2 |
CPUUtilization
|
Pourcentage d'unités de EC2 calcul allouées actuellement utilisées. |
| Amazon EC2 |
NetworkIn
|
Nombre d’octets reçus par l’instance sur toutes les interfaces réseau. |
Pour plus d'informations sur l'utilisation CloudWatch d'Amazon pour détecter DDoS les attaques visant votre application, consultez Getting Started with Amazon CloudWatch.
AWS inclut plusieurs mesures et alarmes supplémentaires pour vous avertir d'une attaque et pour vous aider à surveiller les ressources de votre application. La AWS Shield console ou API fournissez un résumé des événements par compte et des détails sur les attaques détectées.
Activité globale détectée par AWS Shield
En outre, le tableau de bord mondial de l'environnement des menaces fournit des informations récapitulatives sur toutes les DDoS attaques détectées par AWS. Ces informations peuvent être utiles pour mieux comprendre DDoS les menaces pesant sur un plus grand nombre d'applications, en plus de connaître les tendances en matière d'attaques et de les comparer aux attaques que vous avez pu observer.
Si vous êtes abonné AWS Shield Advanced, le tableau de bord du service affiche des mesures de détection et d'atténuation supplémentaires ainsi que des détails sur le trafic réseau pour les événements détectés sur les ressources protégées. AWS Shield évalue le trafic vers votre ressource protégée selon plusieurs dimensions. Lorsqu'une anomalie est détectée, AWS Shield crée un événement et indique la dimension du trafic dans laquelle l'anomalie a été observée. Grâce à une atténuation placée, cela protège votre ressource contre le trafic excessif et le trafic correspondant à une signature d'DDoSévénement connue.
Les mesures de détection sont basées sur des flux réseau ou des AWS WAF journaux échantillonnés lorsqu'un site Web ACL est associé à la ressource protégée. Les mesures d'atténuation sont basées sur le trafic observé par les systèmes DDoS d'atténuation de Shield. Les mesures d'atténuation sont une mesure plus précise du trafic vers votre ressource.
La métrique des principaux contributeurs du réseau fournit un aperçu de la provenance du trafic lors d'un événement détecté. Vous pouvez afficher les contributeurs les plus importants et les trier par aspects tels que le protocole, le port source et les TCP indicateurs. La métrique des principaux contributeurs inclut des mesures pour l'ensemble du trafic observé sur la ressource selon différentes dimensions. Il fournit des dimensions métriques supplémentaires que vous pouvez utiliser pour comprendre le trafic réseau envoyé à votre ressource lors d'un événement. N'oubliez pas que dans le cas des attaques non réfléchissantes de couche 3 ou 4, les adresses IP sources peuvent avoir été falsifiées et ne sont pas fiables.
Le tableau de bord du service inclut également des détails sur les mesures prises automatiquement pour atténuer les DDoS attaques. Ces informations permettent d'étudier plus facilement les anomalies, d'explorer les dimensions du trafic et de mieux comprendre les mesures prises par Shield Advanced pour protéger votre disponibilité.
