基礎架構層威脅的檢測邏輯 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

基礎架構層威脅的檢測邏輯

用於保護目標的檢測邏輯AWS資源抵禦基礎結構層(第 3 層和第 4 層)中的 DDoS 攻擊取決於資源類型以及資源是否受到保護AWS Shield Advanced。

Amazon Route CloudFront 和 Amazon Route 53

當您為 Web 應用程序提供 CloudFront 和 Route 53,所有發送到應用程序的數據包都將由一個完全內聯的 DDoS 緩解系統進行檢查,該系統不會引入任何可觀察到的延遲。DDoS 攻擊 CloudFront 分發和 Route 53 託管區域實時緩解。這些保護適用於無論您使用AWS Shield Advanced。

遵循使用 CloudFront 和 Route 53 作為 Web 應用程序的入口點,以便最快地檢測和緩解 DDoS 事件。

偵測AWS Global Accelerator和區域服務

資源級檢測保護AWS Global Accelerator標準加速器和資源在AWS區域,如傳統負載均衡器、應用程序負載均衡器和彈性 IP 地址 (EIP)。監控這些資源類型是否存在需要緩解的 DDoS 攻擊的流量提升。每分鐘,流量到每個AWS資源進行評估。如果對資源的流量提升,則會執行其他檢查以測量資源的容量。

Shield 執行以下標準檢查:

  • Amazon EElastic Compute Cloud (Amazon EC2) 實例,附加到 Amazon EC2 實例— Shield 從受保護的資源檢索容量。容量取決於目標的實例類型、實例大小和其他因素,例如實例是否使用增強型聯網。

  • 傳統負載平衡器和應用程式負載平衡器— Shield 從目標負載均衡器節點檢索容量。

  • EIP 連接到網路負載平衡器— Shield 從目標負載均衡器檢索容量。容量獨立於目標負載均衡器的組配置。

  • AWS Global Accelerator標準加速器— Shield 檢索基於端點配置的容量。

這些評估跨網絡流量的多個維度(如端口和協議)進行。如果超出目標資源的容量,Shield 會設置 DDoS 緩解。Shield 放置的緩解措施將減少 DDoS 流量,但可能無法消除它。如果在與已知 DDoS 攻擊向量一致的流量維度上超出資源容量的一小部分,Shield 也可能會設置緩解措施。Shield 將此緩解放置在有限的生存時間 (TTL) 中,只要攻擊仍在進行,它就會延伸。

注意

Shield 放置的緩解措施將減少 DDoS 流量,但可能無法消除它。您可以通過AWS Network Firewall或主機上的防火牆(如iptables,以防止您的應用程序處理對您的應用程序無效或不是由合法最終用户生成的流量。

護 Shield 高級保護功能將以下內容添加到現有的護 Shield 檢測活動中:

  • 較低偵測閾值— Shield Advanced 將緩解放置在計算容量的一半。這可以提供更快的緩解速度,緩解速度緩慢的攻擊,並緩解具有較為模糊的容量特徵碼的攻擊。

  • 間歇性攻擊防護— Shield Advanced 根據攻擊的頻率和持續時間,使用指數級增加的生存時間 (TTL) 放置緩解措施。當資源頻繁成為目標時,以及在短時間內發生攻擊時,這樣可以使緩解措施保持更長的時間。

  • 以運作狀態為基礎— 將 Route 53 運行狀況檢查與 Shield Advanced 受保護的資源相關聯時,運行狀況檢查的狀態將在檢測邏輯中使用。在檢測到的事件期間,如果運行狀況檢查運行狀況正常,Shield Advanced 要求在進行緩解之前對事件是攻擊有更大的信心。相反,如果運行狀況檢查不正常,Shield Advanced 可能會在確定信心之前進行緩解。此功能有助於避免誤報,並對影響應用程序的攻擊提供更快的反應。若要進行 Shield Advanced Advanced Advanced Shield使用運作狀態檢查設定根據運作狀態