Fitur mitigasi - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Fitur mitigasi

Fitur utama mitigasi AWS Shield DDoS adalah sebagai berikut:

  • Validasi paket — Ini memastikan bahwa setiap paket yang diperiksa sesuai dengan struktur yang diharapkan dan valid untuk protokolnya. Validasi protokol yang didukung termasuk IP, TCP (termasuk header dan opsi), UDP, ICMP, DNS, dan NTP.

  • Access Control Lists (ACL) dan shapers — ACL mengevaluasi lalu lintas terhadap atribut tertentu dan menjatuhkan lalu lintas yang cocok atau memetakannya ke pembentuk. Pembentuk membatasi laju paket untuk lalu lintas yang cocok, menjatuhkan paket berlebih untuk memuat volume yang mencapai tujuan. AWS Shield Deteksi dan Shield Response Team (SRT) teknisi dapat menyediakan alokasi tarif khusus untuk lalu lintas yang diharapkan dan alokasi tingkat yang lebih ketat untuk lalu lintas dengan atribut yang cocok dengan vektor serangan DDoS yang diketahui. Atribut yang ACL dapat cocok termasuk port, protokol, bendera TCP, alamat tujuan, negara sumber, dan pola arbitrer dalam payload paket.

  • Skor kecurigaan — Ini menggunakan pengetahuan bahwa Shield memiliki lalu lintas yang diharapkan untuk menerapkan skor ke setiap paket. Paket yang lebih dekat dengan pola lalu lintas yang diketahui baik diberi skor kecurigaan yang lebih rendah. Pengamatan atribut lalu lintas buruk yang diketahui dapat meningkatkan skor kecurigaan untuk sebuah paket. Ketika perlu untuk menilai paket batas, Shield menjatuhkan paket dengan skor kecurigaan yang lebih tinggi terlebih dahulu. Ini membantu Shield untuk mengurangi serangan DDoS yang diketahui dan zero-day sambil menghindari kesalahan positif.

  • Proxy TCP SYN — Ini memberikan perlindungan terhadap banjir TCP SYN dengan mengirimkan cookie TCP SYN untuk menantang koneksi baru sebelum mengizinkannya lolos ke layanan yang dilindungi. Proxy TCP SYN yang disediakan oleh mitigasi Shield DDoS adalah tanpa kewarganegaraan, yang memungkinkannya untuk mengurangi serangan banjir TCP SYN terbesar yang diketahui tanpa mencapai kelelahan status. Ini dicapai dengan mengintegrasikan dengan AWS layanan untuk menyerahkan status koneksi alih-alih mempertahankan proxy berkelanjutan antara klien dan layanan yang dilindungi. Proxy TCP SYN saat ini tersedia di Amazon dan CloudFront Amazon Route 53.

  • Distribusi tingkat — Ini terus menyesuaikan nilai pembentuk per lokasi berdasarkan pola masuknya lalu lintas ke sumber daya yang dilindungi. Ini mencegah pembatasan laju lalu lintas pelanggan yang mungkin tidak masuk ke AWS jaringan secara merata.