Elenco delle funzionalità di AWS Shield DDoS mitigazione - AWS WAFAWS Firewall Manager, e AWS Shield Advanced

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Elenco delle funzionalità di AWS Shield DDoS mitigazione

Le caratteristiche principali della AWS Shield DDoS mitigazione sono le seguenti:

  • Convalida dei pacchetti: ciò garantisce che ogni pacchetto ispezionato sia conforme a una struttura prevista e sia valido per il relativo protocollo. Le convalide dei protocolli supportate includono IP, TCP (inclusi header e opzioni),,, e. UDP ICMP DNS NTP

  • Liste di controllo degli accessi (ACLs) e shaper: An ACL valuta il traffico in base a attributi specifici e elimina il traffico corrispondente o lo mappa su uno shaper. Lo shaper limita la frequenza dei pacchetti per il traffico corrispondente, eliminando i pacchetti in eccesso per contenere il volume che raggiunge la destinazione. AWS Shield gli ingegneri di detection e Shield Response Team (SRT) possono fornire allocazioni di tariffe dedicate al traffico previsto e allocazioni di tariffe più restrittive al traffico con attributi che corrispondono a vettori di attacco notiDDoS. Gli attributi che un utente ACL può abbinare includono la porta, il protocollo, TCP i flag, l'indirizzo di destinazione, il paese di origine e gli schemi arbitrari presenti nel payload del pacchetto.

  • Punteggio sospetto: utilizza la conoscenza che Shield ha del traffico previsto per applicare un punteggio a ogni pacchetto. Ai pacchetti che aderiscono maggiormente ai modelli di traffico noto come buono viene assegnato un punteggio di sospetto inferiore. L'osservazione di attributi noti di traffico non valido può aumentare il punteggio di sospetto per un pacchetto. Quando è necessario stabilire un limite di velocità per i pacchetti, Shield rilascia per primi i pacchetti con punteggi di sospetto più alti. Questo aiuta Shield a mitigare gli DDoS attacchi noti e quelli zero-day evitando al contempo i falsi positivi.

  • TCPSYNproxy: fornisce protezione contro le TCP SYN inondazioni inviando TCP SYN cookie per sfidare nuove connessioni prima di consentire loro di passare al servizio protetto. Il TCP SYN proxy fornito da Shield DDoS mitigation è stateless, il che gli consente di mitigare i più grandi attacchi di TCP SYN alluvione conosciuti senza raggiungere l'esaurimento dello stato. Ciò si ottiene integrando AWS i servizi per trasferire lo stato della connessione invece di mantenere un proxy continuo tra il client e il servizio protetto. TCPSYNil proxy è attualmente disponibile su Amazon CloudFront e Amazon Route 53.

  • Distribuzione delle tariffe: regola continuamente i valori dello shaper per località in base al modello di ingresso del traffico verso una risorsa protetta. Ciò impedisce la limitazione della velocità del traffico dei clienti che potrebbe non entrare nella rete in modo uniforme. AWS