AWS Shield Advanceddetail peristiwa - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS Shield Advanceddetail peristiwa

Anda dapat melihat detail tentang deteksi, mitigasi, dan kontributor teratas peristiwa di bagian bawah halaman konsol untuk acara tersebut. Bagian ini dapat mencakup campuran lalu lintas yang sah dan berpotensi tidak diinginkan, dan dapat mewakili lalu lintas yang diteruskan ke sumber daya yang dilindungi dan lalu lintas yang diblokir oleh mitigasi Shield.

  • Deteksi dan mitigasi- Memberikan informasi tentang peristiwa yang diamati dan setiap mitigasi yang diterapkan terhadapnya. Untuk informasi tentang mitigasi acara, lihatMenanggapi peristiwa DDoS.

  • Kontributor Teratas— Mengkategorikan lalu lintas yang terlibat dalam acara tersebut, dan daftar sumber utama lalu lintas untuk setiap kategori.

Metrik mitigasi tidak disertakan untuk Amazon CloudFront atau sumber daya Amazon Route 53, karena layanan ini dilindungi oleh sistem mitigasi yang selalu diaktifkan dan tidak memerlukan mitigasi untuk sumber daya individual.

Bagian rincian bervariasi sesuai dengan apakah informasi tersebut untuk lapisan infrastruktur atau peristiwa lapisan aplikasi.

Detail acara lapisan aplikasi

Untuk acara layer aplikasi (layer 7),Deteksi dan mitigasitab menunjukkan metrik deteksi yang didasarkan pada informasi yang diperoleh dariAWS WAFlog. Mitigasi metrik didasarkan padaAWS WAFaturan di ACL web terkait yang dikonfigurasi untuk memblokir lalu lintas yang tidak diinginkan. Lalu lintas peristiwa yang mereda sebelum aturan mitigasi berlaku tidak terwakili dalam metrik mitigasi. Ini dapat menghasilkan perbedaan antara lalu lintas permintaan web yang ditunjukkan dalam grafik deteksi dan metrik izinkan dan blok yang ditunjukkan dalam grafik mitigasi.

Dengan sumber daya lapisan aplikasi, Anda dapat memilih untuk menentukan aturan mitigasi Anda sendiri di ACL web Anda, Anda dapat meminta bantuan dari Shield Response Team (SRT), atau untuk Amazon CloudFront distribusi, Anda dapat mengkonfigurasi Shield Advanced untuk menerapkan mitigasi otomatis. Untuk informasi tentang opsi ini, lihat Menanggapi peristiwa DDoS.

YangKontributor Teratastab untuk acara lapisan aplikasi menampilkan 5 kontributor teratas untuk acara tersebut, dikategorikan berdasarkan dimensi seperti IP sumber, negara sumber, dan URL tujuan.

Informasi kontributor didasarkan pada permintaan untuk lalu lintas yang sah dan berpotensi tidak diinginkan. Peristiwa dan peristiwa volume yang lebih besar di mana sumber permintaan tidak didistribusikan secara tinggi cenderung memiliki kontributor teratas yang dapat diidentifikasi. Serangan yang didistribusikan secara signifikan dapat memiliki sejumlah sumber, sehingga sulit untuk mengidentifikasi kontributor utama serangan tersebut. Jika Shield Advanced tidak mengidentifikasi kontributor signifikan untuk kategori tertentu, Shield Advanced akan menampilkan data sebagai tidak tersedia.

Rincian peristiwa lapisan infrastruktur

Untuk layer infrastruktur (layer 3 atau 4) event,Deteksi dan mitigasitab menunjukkan metrik deteksi yang didasarkan pada aliran jaringan sampel dan metrik mitigasi yang didasarkan pada lalu lintas yang diamati oleh sistem mitigasi. Mitigasi metrik adalah pengukuran yang lebih tepat dari lalu lintas ke sumber daya Anda.

Lalu lintas peristiwa yang mereda sebelum Shield menempatkan mitigasi tidak terwakili dalam metrik mitigasi. Hal ini dapat menghasilkan perbedaan antara lalu lintas yang ditunjukkan dalam grafik deteksi dan metrik pass and drop yang ditunjukkan dalam grafik mitigasi.

Shield secara otomatis membuat mitigasi untuk jenis sumber daya yang dilindungi Elastic IP (EIP), Classic Load Balancer (CLB), Application Load Balancer (ALB), danAWS Global Acceleratorakselerator standar. Metrik mitigasi untuk alamat EIP danAWS Global Acceleratorakselerator standar menunjukkan jumlah paket yang dilewati dan dijatuhkan.

YangKontributor Teratastab untuk peristiwa lapisan infrastruktur mencantumkan metrik hingga 100 kontributor teratas pada beberapa dimensi lalu lintas. Rinciannya mencakup properti lapisan jaringan untuk dimensi apa pun di mana setidaknya lima sumber lalu lintas yang signifikan dapat diidentifikasi. Contoh sumber lalu lintas adalah sumber IP dan sumber ASN.

Metrik kontributor didasarkan pada aliran jaringan sampel untuk lalu lintas yang sah dan berpotensi tidak diinginkan. Peristiwa dan peristiwa volume yang lebih besar di mana sumber lalu lintas tidak didistribusikan secara tinggi cenderung memiliki kontributor utama yang dapat diidentifikasi. Serangan yang didistribusikan secara signifikan dapat memiliki sejumlah sumber, sehingga sulit untuk mengidentifikasi kontributor utama serangan tersebut. Jika Shield tidak mengidentifikasi kontributor signifikan apa pun untuk metrik atau kategori tertentu, Shield akan menampilkan data sebagai tidak tersedia.

Dalam serangan DDoS lapisan infrastruktur, sumber lalu lintas mungkin palsu atau tercermin. Sumber palsu sengaja ditempa oleh penyerang. Sumber yang dipantulkan adalah sumber sebenarnya dari lalu lintas yang terdeteksi, tetapi itu bukan peserta yang bersedia dalam serangan itu. Misalnya, penyerang mungkin menghasilkan banjir lalu lintas yang besar dan diperkuat ke target dengan mencerminkan serangan dari layanan di internet yang biasanya sah. Dalam hal ini, informasi sumber mungkin valid sementara itu bukan sumber serangan yang sebenarnya. Faktor-faktor ini dapat membatasi kelangsungan hidup teknik mitigasi yang memblokir sumber berdasarkan header paket.