완화 기능

AWS Shield DDoS 완화의 주요 기능은 다음과 같습니다.

• 패킷 검증 — 이렇게 하면 검사된 모든 패킷이 예상 구조를 준수하고 해당 프로토콜에 유효한지 확인할 수 있습니다. 지원되는 프로토콜 검증에는 IP, TCP(헤더 및 옵션 포함), UDP, ICMP, DNS 및 NTP가 포함됩니다.

• 액세스 제어 목록(ACL) 및 셰이퍼 — ACL은 특정 속성을 기준으로 트래픽을 평가하여 일치하는 트래픽을 삭제하거나 셰이퍼에 매핑합니다. 셰이퍼는 대상에 도달하는 볼륨을 제한하기 위해 일치하는 트래픽의 패킷 속도를 제한하여 초과 패킷을 삭제합니다. AWS Shield 탐지 및 Shield Response Team (SRT) 엔지니어는 예상 트래픽에 전용 속도 할당을 제공하고 알려진 DDoS 공격 벡터와 일치하는 속성을 가진 트래픽에는 보다 제한적인 속도 할당을 제공할 수 있습니다. ACL이 일치시킬 수 있는 속성에는 포트, 프로토콜, TCP 플래그, 목적지 주소, 소스 국가, 패킷 페이로드의 임의 패턴 등이 있습니다.

• 의심 점수 산정 — Shield가 예상 트래픽을 파악하여 모든 패킷에 점수를 적용합니다. 알려진 정상 트래픽 패턴과 더 밀접하게 일치하는 패킷에는 더 낮은 의심 점수가 할당됩니다. 알려진 불량 트래픽 속성을 관찰하면 패킷의 의심 점수를 높일 수 있습니다. 속도 제한 패킷이 필요한 경우 Shield는 의심 점수가 높은 패킷을 먼저 삭제합니다. 이를 통해 Shield는 알려진 DDoS 공격과 제로 데이 DDoS 공격을 모두 완화하는 동시에 오탐지를 피할 수 있습니다.

• TCP SYN 프록시 — TCP SYN 쿠키를 전송하여 새 연결을 시도한 다음 보호된 서비스로 전달하도록 허용함으로써 TCP SYN flood를 방지합니다. Shield DDoS 방어 기능이 제공하는 TCP SYN 프록시는 상태 비저장 방식이므로, 알려진 최대 규모의 TCP SYN flood 공격을 상태 소진 없이 완화할 수 있습니다. 이는 클라이언트와 보호 대상 서비스 간에 지속적인 프록시를 유지하는 대신 AWS 서비스와 통합하여 연결 상태를 전달함으로써 달성됩니다. TCP SYN 프록시는 현재 아마존과 CloudFront 아마존 Route 53에서 사용할 수 있습니다.

• 속도 분산 — 이렇게 하면 보호된 리소스로 향하는 트래픽의 수신 패턴을 기반으로 위치별 셰이퍼 값이 지속적으로 조정됩니다. 이렇게 하면 네트워크에 균등하게 유입되지 않을 수 있는 고객 트래픽의 속도 제한을 방지할 수 있습니다. AWS