Shield Advanced에서 인프라 계층(계층 3 또는 4) 이벤트 세부 정보 보기 - AWS WAF, AWS Firewall Manager및 AWS Shield Advanced
감지 및 완화상위 기여자

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Shield Advanced에서 인프라 계층(계층 3 또는 4) 이벤트 세부 정보 보기

이벤트에 대한 콘솔 페이지 하단 섹션에서 인프라 계층 이벤트 탐지, 완화 조치 및 상위 기여자에 대한 세부 정보를 확인할 수 있습니다. 이 섹션에는 합법적인 트래픽과 잠재적으로 원치 않는 트래픽이 혼재되어 있을 수 있으며, 이 섹션은 보호된 리소스로 전달된 트래픽과 Shield 완화 조치로 차단된 트래픽 모두를 나타낼 수 있습니다.

감지 및 완화

인프라 계층(계층 3 또는 4)이벤트의 경우 감지 및 완화 탭에는 샘플링된 네트워크 흐름을 기반으로 하는 탐지 지표와 완화 시스템에서 관찰된 트래픽을 기반으로 하는 완화 지표가 표시됩니다. 완화 지표는 리소스로 유입되는 트래픽을 보다 정확하게 측정한 것입니다.

Shield는 보호된 리소스 유형인 Elastic IP(EIP), Classic Load Balancer(CLB), Application Load Balancer(ALB) 및 AWS Global Accelerator 표준 액셀러레이터에 대한 완화를 자동으로 생성합니다. EIP 주소 및 AWS Global Accelerator 표준 액셀러레이터에 대한 완화 지표는 전달 및 삭제된 패킷 수를 나타냅니다.

다음 스크린샷은 인프라 계층 이벤트에 대한 감지 및 완화 탭의 예를 보여줍니다.

네트워크 이벤트에 대한 감지 및 완화 그래프에서는 탐지 지표의 SYN flood 및 패킷 플러드 트래픽 증가를 나타내며, 이는 완화 지표에서는 몇 초 후에 트래픽을 감소시키는 완화 기능의 증가와 일치합니다. 완화 조치가 약 30초 동안 강화되면 트래픽 플러드가 멈춥니다.

Shield가 완화를 적용하기 전에 감소하는 이벤트 트래픽은 완화 지표에 표시되지 않습니다. 이로 인해 탐지 그래프에 표시된 트래픽과 완화 그래프에 표시된 허용 및 차단 지표 간에 차이가 발생할 수 있습니다.

상위 기여자

인프라 계층 이벤트의 상위 기여자 탭에는 여러 트래픽 측정기준의 최대 100개의 상위 기여자에 대한 지표가 나열됩니다. 세부 정보에는 중요한 트래픽 소스를 5개 이상 식별할 수 있는 모든 측정기준에 대한 네트워크 계층 속성이 포함됩니다. 트래픽 소스의 예로는 소스 IP와 소스 ASN이 있습니다.

다음 스크린샷은 인프라 계층 이벤트에 대한 상위 기여자 탭의 예를 보여줍니다.

네트워크 이벤트의 상위 기여자 탭에는 이벤트에 가장 많이 기여한 트래픽 카테고리가 표시됩니다. 이 경우 카테고리에는 프로토콜별 볼륨, 프로토콜 및 대상 포트별 볼륨, 프로토콜 및 소스 ASN별 볼륨, TCP 플래그별 볼륨이 포함됩니다.

기여자 지표는 합법적인 트래픽과 잠재적으로 원치 않는 트래픽 모두에 대해 샘플링된 네트워크 흐름을 기반으로 합니다. 볼륨이 큰 이벤트와 트래픽 소스가 크게 분산되지 않은 이벤트는 식별 가능한 상위 기여자가 있을 가능성이 더 큽니다. 상당한 정도의 분산형 공격은 소스의 수가 여러 개일 수 있어 공격의 상위 기여자를 식별하기 어렵습니다. Shield가 특정 지표나 카테고리의 주요 기여자를 식별하지 못하면 해당 데이터를 사용할 수 없음으로 표시합니다.

인프라 계층 DDoS 공격에서는 트래픽 소스가 스푸핑되거나 반영될 수 있습니다. 스푸핑된 소스는 공격자가 의도적으로 위조한 것입니다. 반영된 소스는 탐지된 트래픽의 실제 소스이지만 공격에 기꺼이 참여하지는 않습니다. 예를 들어 공격자는 일반적으로 합법적인 인터넷 서비스 비활성화 공격을 반영하여 표적으로 대량의 증폭된 트래픽을 생성할 수 있습니다. 이 경우 소스 정보는 공격의 실제 소스는 아니지만 유효할 수 있습니다. 이러한 요인으로 인해 패킷 헤더를 기반으로 소스를 차단하는 완화 기술의 실행 가능성이 제한될 수 있습니다.