Funzionalità di mitigazione - AWS WAFAWS Firewall Manager, e AWS Shield Advanced

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Funzionalità di mitigazione

Le caratteristiche principali della mitigazione degli AWS Shield attacchi DDoS sono le seguenti:

  • Convalida dei pacchetti: garantisce che ogni pacchetto ispezionato sia conforme a una struttura prevista e sia valido per il relativo protocollo. Le convalide dei protocolli supportate includono IP, TCP (inclusi header e opzioni), UDP, ICMP, DNS e NTP.

  • Liste di controllo degli accessi (ACL) e shaper: un ACL valuta il traffico in base a attributi specifici e elimina il traffico corrispondente o lo mappa su uno shaper. Lo shaper limita la frequenza dei pacchetti per il traffico corrispondente, eliminando i pacchetti in eccesso per contenere il volume che raggiunge la destinazione. AWS Shield i tecnici del detection e dello Shield Response Team (SRT) possono fornire allocazioni di tariffe dedicate al traffico previsto e allocazioni di tariffe più restrittive al traffico con attributi che corrispondono ai vettori di attacco DDoS noti. Gli attributi che un ACL può corrispondere includono la porta, il protocollo, i flag TCP, l'indirizzo di destinazione, il paese di origine e gli schemi arbitrari nel payload del pacchetto.

  • Punteggio sospetto: utilizza la conoscenza che Shield ha del traffico previsto per applicare un punteggio a ogni pacchetto. Ai pacchetti che aderiscono maggiormente ai modelli di traffico noto come buono viene assegnato un punteggio di sospetto più basso. L'osservazione di attributi noti di traffico non valido può aumentare il punteggio di sospetto per un pacchetto. Quando è necessario stabilire un limite di velocità per i pacchetti, Shield rilascia per primi i pacchetti con punteggi di sospetto più alti. Questo aiuta Shield a mitigare gli attacchi DDoS noti e zero-day evitando al contempo i falsi positivi.

  • Proxy TCP SYN: fornisce protezione contro i flood TCP SYN inviando cookie TCP SYN per contestare nuove connessioni prima di consentirne il passaggio al servizio protetto. Il proxy TCP SYN fornito da Shield DDoS mitigation è stateless, il che gli consente di mitigare i più grandi attacchi TCP SYN flood conosciuti senza raggiungere l'esaurimento dello stato. Ciò si ottiene integrando i AWS servizi per trasferire lo stato della connessione invece di mantenere un proxy continuo tra il client e il servizio protetto. Il proxy TCP SYN è attualmente disponibile su Amazon e CloudFront Amazon Route 53.

  • Distribuzione delle tariffe: regola continuamente i valori dello shaper per località in base al modello di ingresso del traffico verso una risorsa protetta. Ciò impedisce la limitazione della velocità del traffico dei clienti che potrebbe non entrare nella rete in modo uniforme. AWS