AWS Shield 和 Shield Advanced 的工作原

AWS Shield Standard 并针对网络和传输层（第 3 层和第 4 层）以及应用层（第 7 层）的 AWS 资源 AWS Shield Advanced 提供针对分布式拒绝服务 (DDoS) 攻击的保护。DDoS 攻击是一种攻击，在这种攻击中，多个受感染的系统试图向目标充斥流量。DDoS 攻击会阻止合法终端用户访问目标服务，并可能导致目标服务因流量过大而崩溃。

AWS Shield 提供针对各种已知的 DDoS 攻击向量和未修补攻击向量的保护。Shield 检测和缓解旨在提供针对威胁的覆盖范围，即使服务在检测时并未明确知道这些威胁。Shield Standard 是自动提供的，使用 AWS时不收取额外费用。

Shield 检测到的攻击类别包括：

• 网络容量攻击（第 3 层）：这是基础设施层攻击向量的子类别。这些向量试图使目标网络或资源的容量饱和，拒绝向合法用户提供服务。

• 网络协议攻击（第 4 层）：这是基础设施层攻击向量的子类别。这些向量滥用协议来拒绝向目标资源提供服务。网络协议攻击的一个常见示例是 TCP SYN 泛洪，它会耗尽服务器、负载均衡器或防火墙等资源的连接状态。网络协议攻击也可以是容量攻击。例如，较大的 TCP SYN 泛洪可能旨在使网络容量饱和，同时还会耗尽目标资源或中间资源的状态。

• 应用程序层攻击（第 7 层）：此类攻击向量试图通过向应用程序充斥对目标有效的查询（如 Web 请求泛洪）来拒绝向合法用户提供服务。

目录

• AWS Shield Standard 概述
• AWS Shield Advanced 概述
  • AWS Shield Advanced 受保护的资源
  • AWS Shield Advanced 功能和选项
  • 决定是否订阅 AWS Shield Advanced 和应用其他保护
• DDoS 攻击示例
• 如何 AWS Shield 检测事件
  • 基础设施层威胁的检测逻辑
  • 应用程序层威胁检测逻辑
  • 应用程序中多个资源的检测逻辑
• 如何 AWS Shield 缓解事件
  • 缓解功能
  • AWS Shield CloudFront 和 Route 53 的缓解逻辑
  • AWS ShieldAWS 区域的缓解逻辑
  • AWS ShieldAWS Global Accelerator 标准加速器的缓解逻辑
  • AWS Shield Advanced 弹性 IP 的缓解逻辑
  • AWS Shield Advanced Web 应用程序的缓解逻辑