緩解功能 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

緩解功能

AWS ShieldDDoS 緩解的主要功能如下:

  • 封包驗證 — 這可確保每個檢查封包都符合預期的結構,且對其通訊協定有效。支援的通訊協定驗證包括 IP、TCP (包括標頭和選項)、UDP、ICMP、DNS 和 NTP。

  • 存取控制清單 (ACL) 和塑形器 — ACL 會根據特定屬性評估流量,並捨棄相符的流量或將其對應至塑形器。Shaper 會限制相符流量的封包速率,捨棄多餘的封包以包含到達目的地的磁碟區。 AWS Shield偵測與防 Shield 回應小組 (SRT) 工程師可以針對預期流量提供專屬的費率分配,並為具有符合已知 DDoS 攻擊媒介的屬性的流量提供更嚴格的速率分配。ACL 可以比對的屬性包括連接埠、通訊協定、TCP 旗標、目的地位址、來源國家/地區,以及封包裝載中的任意模式。

  • 疑評分 — 這會使用 Shield 預期流量的知識,將分數套用至每個封包。較接近已知良好流量模式的封包會指派較低的可疑分數。觀察已知不良流量屬性可能會增加封包的可疑分數。當需要對限制封包進行分級時,Shield 會先丟棄可疑分數較高的封包。這有助於 Shield 減輕已知和零時差 DDoS 攻擊,同時避免誤判。

  • TCP SYN 代理 — 這通過發送 TCP SYN Cookie 來挑戰新的連接,然後允許它們傳遞給受保護的服務,以提供針對 TCP SYN 洪水的保護。Shield DDoS 緩解提供的 TCP SYN 代理是無狀態的,這使得它可以緩解最大的已知 TCP SYN 洪水攻擊,而不會達到狀態耗盡。這是通過與AWS服務集成來分發連接狀態,而不是在客戶端和受保護的服務之間維護連續的代理來實現的。TCP SYN 代理目前在 Amazon CloudFront 和 Amazon 路線 53 上可用。

  • 速率分配 — 這會根據流量向受保護資源的輸入模式持續調整每個位置整形器值。這樣可以防止可能無法平均進入AWS網絡的客戶流量的速率限制。