緩和機能のリスト AWS Shield DDoS

緩和の主な特徴 AWS Shield DDoSは次のとおりです。

• パケット検証 — これにより、検査されたすべてのパケットが期待される構造に適合し、そのプロトコルに対して有効であることが保証されます。サポートされているプロトコル検証には、IP、 TCP (ヘッダーとオプションを含む）UDP、、DNS、ICMPおよび が含まれますNTP。

• アクセスコントロールリスト (ACLs) とシェーパー – は、特定の属性に対するトラフィックACLを評価し、一致するトラフィックを削除するか、シェーパーにマッピングします。シェーパーは、一致するトラフィックのパケットレートを制限し、送信先に到達するボリュームを含めるために余分なパケットをドロップします。 AWS Shield 検出および Shield Response Team (SRT) エンジニアは、予想されるトラフィックへの専用レート割り当てと、既知のDDoS攻撃ベクトルに一致する属性を持つトラフィックへのより制限的なレート割り当てを提供できます。が一致ACLできる属性には、パケットペイロードのポート、プロトコル、TCPフラグ、送信先アドレス、送信元国、および任意のパターンが含まれます。

• 疑惑のスコアリング — これにより、Shield が期待するトラフィックに関する知識を使用して、すべてのパケットにスコアを適用されます。既知の正常なトラフィックのパターンに近いパケットには、より低い疑惑スコアが割り当てられます。既知の不良トラフィック属性を観察すると、パケットの疑惑スコアが高まる可能性があります。レート制限パケットが必要な場合、Shield は疑惑スコアが高いパケットからドロップします。これにより、Shield は誤検出を回避しながら、既知のDDoS攻撃とゼロデイ攻撃の両方を軽減できます。

• TCP SYN プロキシ – これにより、保護されたサービスに渡す前に、新しい接続にチャレンジするために TCPSYNCookie を送信することで、TCPSYNフラッドに対する保護が提供されます。Shield DDoS緩和によって提供されるTCPSYNプロキシはステートレスであるため、状態を使い果たすことなく既知の最大のTCPSYNフラッド攻撃を軽減できます。これは、 サービスと統合して、クライアントと保護された AWS サービス間の継続的なプロキシを維持するのではなく、接続状態をハンドオフすることで実現されます。TCP SYN プロキシは現在、Amazon CloudFront および Amazon Route 53 で利用できます。

• レートの分布 — これにより、保護されたリソースへのトラフィックの入力パターンに基づいて、ロケーションシェーパーの値を継続的に調整します。これにより、 AWS ネットワークに均等に進入しない可能性のある顧客トラフィックのレート制限を防ぐことができます。