緩解功能

AWS Shield DDoS 緩解的主要功能如下：

• 封包驗證 — 這可確保每個檢查封包都符合預期的結構，且對其通訊協定有效。支援的通訊協定驗證包括 IP、TCP (包括標頭和選項)、UDP、ICMP、DNS 和 NTP。

• 存取控制清單 (ACL) 和塑形器 — ACL 會根據特定屬性評估流量，並捨棄相符的流量或將其對應至塑形器。Shaper 會限制相符流量的封包速率，捨棄多餘的封包以包含到達目的地的磁碟區。 AWS Shield 偵測與防 Shield 回應小組 (SRT) 工程師可以針對預期流量提供專屬的費率分配，並為具有符合已知 DDoS 攻擊媒介的屬性的流量提供更嚴格的速率分配。ACL 可以比對的屬性包括連接埠、通訊協定、TCP 旗標、目的地位址、來源國家/地區，以及封包裝載中的任意模式。

• 可疑評分 — 這會使用 Shield 預期流量的知識，將分數套用至每個封包。較接近已知良好流量模式的封包會指派較低的可疑分數。觀察已知不良流量屬性可能會增加封包的可疑分數。當需要對限制封包進行分級時，Shield 會先丟棄可疑分數較高的封包。這有助於 Shield 減輕已知和零時差 DDoS 攻擊，同時避免誤判。

• TCP SYN 代理 — 這通過發送 TCP SYN Cookie 來挑戰新的連接，然後允許它們傳遞給受保護的服務，以提供針對 TCP SYN 洪水的保護。Shield DDoS 緩解提供的 TCP SYN 代理是無狀態的，這使得它可以緩解最大的已知 TCP SYN 洪水攻擊，而不會達到狀態耗盡。這是通過與 AWS 服務集成來分發連接狀態，而不是在客戶端和受保護的服務之間維護連續的代理來實現的。TCP SYN 代理目前在 Amazon CloudFront 和 Amazon 路線 53 上可用。

• 速率分配 — 這會根據流量向受保護資源的輸入模式持續調整每個位置整形器值。這樣可以防止可能無法平均進入 AWS 網絡的客戶流量的速率限制。