基礎架構層威脅的偵測邏輯 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

基礎架構層威脅的偵測邏輯

用於保護目標AWS資源免受基礎架構層(第 3 層和第 4 層)中的 DDoS 攻擊的檢測邏輯取決於資源類型以及資源是否受到保護AWS Shield Advanced。

檢測 Amazon CloudFront 和 Amazon 路線 53

當您使用 CloudFront 和 Route 53 為 Web 應用程式提供服務時,所有到應用程式的封包都會由完全內嵌 DDoS 緩解系統進行檢查,該系統不會產生任何可觀察到的延遲。對 CloudFront 分佈和 Route 53 託管區域的 DDoS 攻擊可實時緩解。無論您是否使用,這些保護都適用AWS Shield Advanced。

盡可能遵循使用 CloudFront 和 Route 53 作為 Web 應用程式進入點的最佳做法,以便最快速地偵測和緩解 DDoS 事件。

檢測AWS Global Accelerator和區域服務

資源層級偵測可保護AWS區域中啟動的AWS Global Accelerator標準加速器和資源,例如傳統負載平衡器、應用程式負載平衡器和彈性 IP 位址 (EIP)。系統會監控這些資源類型的流量高度,這些資源可能表示存在需要緩解的 DDoS 攻擊。每分鐘都會評估每個AWS資源的流量。如果對資源的流量提高,則會執行額外的檢查以測量資源的容量。

「Shield」會執行下列標準檢查:

  • 亞馬遜彈性運算雲端 (Amazon EC2) 執行個體、連接到 Amazon EC2 執行個體的 EIP — Shield 會從受保護的資源擷取容量。容量取決於目標的執行個體類型、執行個體大小和其他因素,例如執行個體是否使用增強型聯網。

  • 傳統負載平衡器和應用程式負載平衡器 — Shield 會從目標負載平衡器節點擷取容量。

  • 連接至網路負載平衡器的 EIP — Shield 會從目標負載平衡器擷取容量。容量獨立於目標負載平衡器的群組組態。

  • AWS Global Accelerator標準加速器 — Shield 會擷取容量,此容量是以端點組態為基礎。

這些評估會跨多個網路流量維度進行,例如連接埠和通訊協定。如果超過目標資源的容量,Shield 牌會放置 DDoS 緩解措施。Shield 放置的緩和措施將減少 DDoS 流量,但可能無法消除它。如果在與已知 DDoS 攻擊媒介一致的流量維度上超過一小部分資源容量,Shield 也可能會放置緩解措施。Shield 牌在有限的存留時間內放置此緩解措施(TTL),只要攻擊持續進行,它就會擴展。

注意

Shield 放置的緩解措施將減少 DDoS 流量,但可能無法消除它。您可以使用類似的解決方案AWS Network Firewall或主機上的防火牆iptables來增強 Shield,例如防止應用程式處理對您的應用程式無效或非合法使用者產生的流量。

「Shield 牌進階防護」可將下列項目新增至現有的 Shield 偵測活動:

  • 較低的偵測閾值 —「Shield 牌進階」會將緩和措施放在計算容量的一半。這可以為緩慢加速的攻擊提供更快的緩解措施,並減輕具有更模糊容量特徵的攻擊。

  • 歇性攻擊防護 — Shield Advanced 會根據攻擊的頻率和持續時間,以指數級增加的存留時間 (TTL) 設置緩和措施。當資源經常被鎖定目標,以及在短時間內發生攻擊時,這樣可以延長緩和措施的時間。

  • 健全狀況偵測 — 當您將 Route 53 He alth 狀態檢查與 Shield Advanced 受保護的資源建立關聯時,偵測邏輯中會使用健康狀態檢查的狀態。在偵測到的事件期間,如果健全狀況檢查狀況良好,Shield Advanced 會在放置緩和措施之前,需要更有信心確定該事件是攻擊。如果運作狀態檢查不健康,Shield Advanced 可能會在建立信心之前放置緩解措施。此功能有助於避免誤報,並對影響應用程式的攻擊提供更快的反應。如需使用「Shield 進階」進階進行狀態檢查的相關資使用健康狀態檢查設定健康狀況型