AWS Shield logika mitigasi untuk Wilayah AWS

Halaman ini menjelaskan cara kerja logika mitigasi peristiwa Shield di AWS Wilayah.

Sumber daya yang diluncurkan di AWS Wilayah dilindungi oleh sistem AWS Shield DDoS mitigasi yang ditempatkan oleh deteksi tingkat sumber daya Shield. Sumber daya regional meliputi Elastic IPs (EIPs), Classic Load Balancer, dan Application Load Balancer.

Sebelum menempatkan mitigasi, Shield mengidentifikasi sumber daya yang ditargetkan dan kapasitasnya. Shield menggunakan kapasitas untuk menentukan total lalu lintas maksimum yang mitigasi harus memungkinkan untuk diteruskan ke sumber daya. Access control lists (ACLs) dan pembentuk lain dalam mitigasi dapat mengurangi volume yang diizinkan untuk beberapa lalu lintas, misalnya lalu lintas yang cocok dengan vektor DDoS serangan yang diketahui atau yang tidak diharapkan datang dalam volume besar. Ini selanjutnya membatasi jumlah lalu lintas yang memungkinkan mitigasi untuk serangan UDP refleksi atau untuk TCP lalu lintas yang memiliki TCP SYN atau bendera. FIN

Shield menentukan kapasitas dan menempatkan mitigasi secara berbeda untuk setiap jenis sumber daya.

Untuk EC2 instans Amazon, atau EIP yang dilampirkan ke EC2 instans Amazon, Shield menghitung kapasitas berdasarkan jenis instance dan atribut instance lainnya, seperti apakah instance telah mengaktifkan jaringan yang ditingkatkan.
Untuk Application Load Balancer atau Classic Load Balancer, Shield menghitung kapasitas secara individual untuk setiap node yang ditargetkan dari load balancer. DDoSmitigasi serangan untuk sumber daya ini disediakan oleh kombinasi DDoS mitigasi Shield dan penskalaan otomatis oleh penyeimbang beban. Ketika Shield Response Team (SRT) terlibat dalam serangan terhadap Application Load Balancer atau sumber daya Classic Load Balancer Klasik, mereka mungkin mempercepat penskalaan sebagai tindakan perlindungan tambahan.
Shield menghitung kapasitas untuk beberapa AWS sumber daya didasarkan pada kapasitas yang tersedia dari AWS infrastruktur yang mendasarinya. Jenis sumber daya ini termasuk Network Load Balancers (NLBs) dan sumber daya yang merutekan lalu lintas melalui Gateway Load Balancers atau. AWS Network Firewall

catatan

Lindungi Network Load Balancer Anda dengan melampirkan EIPs yang dilindungi oleh Shield Advanced. Anda dapat bekerja sama SRT untuk membangun mitigasi khusus yang didasarkan pada lalu lintas yang diharapkan dan kapasitas aplikasi yang mendasarinya.

Saat Shield menempatkan mitigasi, batas tarif awal yang ditentukan Shield dalam logika mitigasi diterapkan secara merata ke setiap sistem mitigasi Shield. DDoS Misalnya, jika Shield menempatkan mitigasi dengan batas 100.000 paket per detik (pps), awalnya akan memungkinkan 100.000 pps di setiap lokasi. Kemudian, Shield terus mengumpulkan metrik mitigasi untuk menentukan rasio lalu lintas yang sebenarnya, dan menggunakan rasio untuk menyesuaikan batas tarif untuk setiap lokasi. Ini mencegah positif palsu dan memastikan bahwa mitigasi tidak terlalu permisif.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Mitigasi untuk CloudFront dan Rute 53

Mitigasi untuk akselerator standar AWS Global Accelerator