AWS Shield lógica de mitigação para regiões AWS

Os recursos lançados nas AWS regiões são protegidos por sistemas de mitigação de AWS Shield DDoS colocados pela detecção em nível de recurso do Shield. Os recursos regionais incluem IPs elásticos (EIPs), Classic Load Balancers e Application Load Balancers.

Antes de fazer uma mitigação, o Shield identifica o recurso alvo e sua capacidade. O Shield usa a capacidade de determinar o tráfego total máximo que suas mitigações devem permitir que seja encaminhado para o recurso. As listas de controle de acesso (ACLs) e outros shapers dentro da mitigação podem diminuir os volumes permitidos para algum tráfego, por exemplo, tráfego que corresponda a vetores de ataque de DDoS conhecidos ou que não se espera que venha em grande volume. Isso limita ainda mais a quantidade de tráfego que as mitigações permitem para ataques de reflexão UDP ou para tráfego TCP que possuem sinalizadores TCP SYN ou FIN.

O Shield determina a capacidade e coloca as mitigações de forma diferente para cada tipo de recurso.

Para uma instância do Amazon EC2 ou um EIP anexado a uma instância do Amazon EC2, o Shield calcula a capacidade com base no tipo de instância e em outros atributos da instância, como se a instância tivesse uma rede aprimorada habilitada.
Para um Application Load Balancer ou Classic Load Balancer, o Shield calcula a capacidade individualmente para cada nó de destino do balanceador de carga. As mitigações de ataques de DDoS para esses recursos são fornecidas por uma combinação de mitigações de DDoS Shield e escalonamento automático pelo balanceador de carga. Quando o Shield Response Team (SRT) está envolvido em um ataque contra um recurso do Application Load Balancer ou do Classic Load Balancer, ele pode acelerar o escalonamento como uma medida adicional de proteção.
O Shield calcula a capacidade de alguns AWS recursos com base na capacidade disponível da AWS infraestrutura subjacente. Esses tipos de recursos incluem balanceadores de carga de rede (NLBs) e recursos que roteiam o tráfego por meio de balanceadores de carga de gateway ou. AWS Network Firewall

nota

Proteja seus Network Load Balancers anexando EIPs protegidos pelo Shield Advanced. Você pode trabalhar com o SRT para criar mitigações personalizadas com base no tráfego e na capacidade esperados do aplicativo subjacente.

Quando o Shield coloca uma mitigação, os limites de taxa iniciais que o Shield define na lógica de mitigação são aplicados igualmente a cada sistema de mitigação de DDoS do Shield. Por exemplo, se o Shield colocar uma mitigação com um limite de 100.000 pacotes por segundo (pps), ele inicialmente permitirá 100.000 pps em cada local. Em seguida, o Shield agrega continuamente métricas de mitigação para determinar a proporção real de tráfego e usa a proporção para adaptar o limite de taxa para cada local. Isso evita falsos positivos e garante que as mitigações não sejam excessivamente permissivas.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

AWS Shield com CloudFront e Route 53

AWS Shield com aceleradores AWS Global Accelerator padrão