AWS Shield logica di mitigazione per le regioni AWS

Le risorse lanciate nelle AWS Regioni sono protette da sistemi di mitigazione AWS Shield DDoS posizionati dal rilevamento a livello di risorsa Shield. Le risorse regionali includono Elastic IP (EIP), Classic Load Balancers e Application Load Balancers.

Prima di effettuare una mitigazione, Shield identifica la risorsa bersaglio e la sua capacità. Shield utilizza la capacità di determinare il traffico totale massimo che le sue mitigazioni dovrebbero consentire di inoltrare alla risorsa. Le liste di controllo degli accessi (ACL) e altri shaper inclusi nella mitigazione potrebbero ridurre i volumi consentiti per parte del traffico, ad esempio il traffico che corrisponde ai vettori di attacco DDoS noti o che non dovrebbe avere un volume elevato. Ciò limita ulteriormente la quantità di traffico consentita dalle mitigazioni per gli attacchi di riflessione UDP o per il traffico TCP con flag TCP SYN o FIN.

Shield determina la capacità e posiziona le mitigazioni in modo diverso per ogni tipo di risorsa.

Per un'istanza Amazon EC2 o un EIP collegato a un'istanza Amazon EC2, Shield calcola la capacità in base al tipo di istanza e ad altri attributi dell'istanza, ad esempio se l'istanza ha una rete avanzata abilitata.
Per un Application Load Balancer o un Classic Load Balancer, Shield calcola la capacità individualmente per ogni nodo di destinazione del load balancer. Le mitigazioni degli attacchi DDoS per queste risorse sono fornite da una combinazione di mitigazioni DDoS Shield e scalabilità automatica da parte del load balancer. Quando lo Shield Response Team (SRT) è impegnato in un attacco contro una risorsa Application Load Balancer o Classic Load Balancer, potrebbe accelerare la scalabilità come misura di protezione aggiuntiva.
Shield calcola che la capacità di alcune AWS risorse si basa sulla capacità disponibile dell' AWS infrastruttura sottostante. Questi tipi di risorse includono Network Load Balancer (NLB) e risorse che instradano il traffico attraverso Gateway Load Balancers o. AWS Network Firewall

Nota

Proteggi i tuoi Network Load Balancer collegando EIP protetti da Shield Advanced. Puoi lavorare con SRT per creare mitigazioni personalizzate basate sul traffico e sulla capacità previsti dell'applicazione sottostante.

Quando Shield effettua una mitigazione, i limiti di velocità iniziali definiti da Shield nella logica di mitigazione vengono applicati allo stesso modo a tutti i sistemi di mitigazione DDoS Shield. Ad esempio, se Shield applica una mitigazione con un limite di 100.000 pacchetti al secondo (pps), inizialmente consentirà 100.000 pps in ogni posizione. Quindi, Shield aggrega continuamente le metriche di mitigazione per determinare il rapporto effettivo del traffico e utilizza il rapporto per adattare il limite di velocità per ciascuna località. Ciò previene i falsi positivi e garantisce che le mitigazioni non siano eccessivamente permissive.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

AWS Shield con CloudFront e Route 53

AWS Shield con acceleratori standard AWS Global Accelerator