Fitur mitigasi - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Fitur mitigasi

Fitur utamaAWS ShieldMitigasi DDoS adalah sebagai berikut:

  • Validasi paket- Ini memastikan bahwa setiap paket yang diperiksa sesuai dengan struktur yang diharapkan dan valid untuk protokolnya. Validasi protokol yang didukung termasuk IP, TCP (termasuk header dan opsi), UDP, ICMP, DNS, dan NTP.

  • Daftar Kontrol Akses (ACL) dan pembentuk- ACL mengevaluasi lalu lintas terhadap atribut tertentu dan menjatuhkan lalu lintas yang cocok atau memetakannya ke pembentuk. Pembentuk membatasi tingkat paket untuk lalu lintas yang cocok, menjatuhkan paket berlebih untuk berisi volume yang mencapai tujuan.AWS Shieldteknisi deteksi dan Shield Response Team (SRT) dapat menyediakan alokasi tarif khusus untuk lalu lintas yang diharapkan dan alokasi tarif yang lebih ketat untuk lalu lintas dengan atribut yang sesuai dengan vektor serangan DDoS yang diketahui. Atribut yang bisa dicocokkan ACL meliputi port, protokol, flag TCP, alamat tujuan, negara sumber, dan pola arbitrer dalam payload paket.

  • Kecurigaan mencetak gol— Ini menggunakan pengetahuan bahwa Shield memiliki lalu lintas yang diharapkan untuk menerapkan skor untuk setiap paket. Paket yang lebih erat mematuhi pola lalu lintas bagus yang diketahui diberi skor kecurigaan yang lebih rendah. Pengamatan atribut lalu lintas buruk yang diketahui dapat meningkatkan skor kecurigaan untuk sebuah paket. Ketika diperlukan untuk menilai paket batas, Shield menjatuhkan paket dengan skor kecurigaan yang lebih tinggi terlebih dahulu. Ini membantu Shield untuk mengurangi serangan DDoS yang diketahui dan zero-day sambil menghindari positif palsu.

  • Proksi TCP- Ini memberikan perlindungan terhadap banjir TCP SYN dengan mengirimkan cookie TCP SYN untuk menantang koneksi baru sebelum memungkinkan mereka untuk lolos ke layanan yang dilindungi. Proksi TCP SYN yang disediakan oleh mitigasi Shield DDoS adalah stateless, yang memungkinkannya untuk mengurangi serangan banjir TCP SYN terbesar yang diketahui tanpa mencapai kelelahan negara. Hal ini dicapai dengan mengintegrasikan denganAWSlayanan untuk menyerahkan status koneksi alih-alih mempertahankan proxy terus menerus antara klien dan layanan yang dilindungi. Proksi TCP SYN saat ini tersedia di Amazon CloudFront Amazon Route 53.

  • Distribusi rate- Ini terus menyesuaikan nilai pembentuk per lokasi berdasarkan pola masuknya lalu lintas menuju sumber daya yang dilindungi. Ini mencegah pembatasan tingkat lalu lintas pelanggan yang mungkin tidak masukAWSjaringan merata.