Atributos de mitigação - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Atributos de mitigação

As principais características da mitigação de AWS Shield DDoS são as seguintes:

  • Validação de pacotes: isso garante que cada pacote inspecionado esteja em conformidade com uma estrutura esperada e seja válido para seu protocolo. As validações de protocolo suportadas incluem IP, TCP (incluindo cabeçalho e opções), UDP, ICMP, DNS e NTP.

  • Listas de controle de acesso (ACLs) e shapers: uma ACL avalia o tráfego em relação a atributos específicos e descarta o tráfego correspondente ou o mapeia para um shaper. O shaper limita a taxa de pacotes para o tráfego correspondente, descartando pacotes em excesso para conter o volume que chega ao destino. AWS Shield Os engenheiros de detecção e do Shield Response Team (SRT) podem fornecer alocações de taxas dedicadas para o tráfego esperado e alocações de taxas mais restritivas para o tráfego com atributos que correspondem aos vetores de ataque de DDoS conhecidos. Os atributos que uma ACL pode combinar incluem porta, protocolo, sinalizadores TCP, endereço de destino, país de origem e padrões arbitrários na carga útil do pacote.

  • Pontuação de suspeita: usa o conhecimento que o Shield tem do tráfego esperado para aplicar uma pontuação a cada pacote. Pacotes que seguem mais de perto os padrões de tráfego em boas condições recebem uma pontuação de suspeita mais baixa. A observação de atributos conhecidos de tráfego incorreto pode aumentar a pontuação de suspeita de um pacote. Quando é necessário limitar a taxa de pacotes, o Shield descarta primeiro os pacotes com maior pontuação de suspeita. Isso ajuda o Shield a mitigar ataques de DDoS conhecidos e de dia zero, evitando falsos positivos.

  • Proxy TCP SYN: isso fornece proteção contra floods TCP SYN enviando cookies TCP SYN para desafiar novas conexões antes de permitir que elas passem para o serviço protegido. O proxy TCP SYN fornecido pela mitigação de DDoS do Shield não tem estado, o que permite mitigar os maiores ataques de flood TCP SYN conhecidos sem atingir a exaustão do estado. Isso é obtido por meio da integração com AWS os serviços para transferir o estado da conexão, em vez de manter um proxy contínuo entre o cliente e o serviço protegido. Atualmente, o proxy TCP SYN está disponível na Amazon e no CloudFront Amazon Route 53.

  • Distribuição de intervalos: isso ajusta continuamente os valores do shaper por local com base no padrão de entrada de tráfego em direção a um recurso protegido. Isso evita a limitação da taxa de tráfego de clientes que podem não entrar na AWS rede uniformemente.