本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS Shield CloudFront 和 Route 53 的缓解逻辑
本页介绍了 Shield DDoS 缓解措施如何持续检查 53 号公路 CloudFront 的交通。这些服务通过遍布全球的 AWS 边缘站点网络运行,使您可以广泛访问Shield的DDoS缓解能力,并通过离最终用户更近的基础设施交付应用程序。
-
CloudFront— Shield DDoS 缓解措施仅允许对 Web 应用程序有效的流量通过到服务。这可以自动防范许多常见的DDoS向量,例如UDP反射攻击。
CloudFront 保持与应用程序来源的持续连接,通过与 Shield TCP SYN 代理功能集成自动缓解TCPSYN洪水,传输层安全 (TLS) 在边缘终止。这些组合功能可确保您的应用程序源仅接收格式正确的 Web 请求,并保护其免受低层DDoS攻击、连接洪水和TLS滥用行为的侵害。
CloudFront 使用DNS流量方向和任播路由的组合。这些技术通过缓解靠近源头的攻击,提供故障隔离以及确保访问容量以缓解已知最大规模的攻击,从而提高应用程序的弹性。
-
Route 53 — Shield 缓解措施仅允许有效的DNS请求到达服务。Shield 使用可疑评分来缓解DNS查询洪水,该评分会优先考虑已知良好的查询,并降低包含可疑或已知攻击属性的查询的优先级。DDoS
Route 53 使用随机分片为每个托管区域提供一组唯一的四个解析器 IP 地址,用于和。IPv4 IPv6每个 IP 地址对应于 Route 53 位置的不同子集。每个位置子集都由权威DNS服务器组成,这些服务器仅与任何其他子集中的基础设施部分重叠。这样可以确保如果用户查询因任何原因失败,则在重试时将成功提供该查询。
Route 53 使用任播路由,根据网络邻近度将DNS查询定向到最近的边缘位置。Anycast 还会将DDoS流量分散到许多边缘位置,从而防止攻击集中在单个位置。
除了缓解速度外, CloudFront 53号公路还为使用Shield的全球分布容量提供了广泛的访问权限。要利用这些功能,请将这些服务用作动态或静态 Web 应用程序的入口点。
要了解有关使用 CloudFront 和 Route 53 保护 Web 应用程序的更多信息,请参阅如何使用 Amazon CloudFront 和 Amazon Route 53 帮助保护动态 Web 应用程序免受DDoS攻击
