AWS ShieldAWS 區域的緩解邏輯

在 AWS 區域中啟動的資源受到 Shield 資源級檢測所放置的 AWS Shield DDoS 緩解系統的保護。區域資源包括彈性 IP (EIP)、傳統負載平衡器和應用程式負載平衡器。

在放置緩解措施之前，Shield 會識別目標資源及其容量。Shield 會使用容量來判斷其緩和措施應允許轉送至資源的最大總流量。緩解措施中的存取控制清單 (ACL) 和其他塑造程式可能會減少某些流量允許的磁碟區，例如與已知 DDoS 攻擊媒介相符的流量，或者預期不會大量出現的流量。這進一步限制緩和措施允許 UDP 反射攻擊或具有 TCP SYN 或 FIN 旗標的 TCP 流量的流量。

Shield 會針對每種資源類型決定容量並以不同方式放置緩和措施

• 對於 Amazon EC2 執行個體或連接到 Amazon EC2 執行個體的 EIP，Shield 會根據執行個體類型和其他執行個體屬性 (例如執行個體是否已啟用增強型聯網) 來計算容量。

• 對於「應用程式負載平衡器」或「Classic Load Balancer」，Shield 會個別計算負載平衡器每個目標節點的容量。這些資源的 DDoS 攻擊緩解措施是由 Shield DDoS 緩解措施和負載平衡器自動擴展的組合提供的。當 Shield 牌回應小組 (SRT) 參與對應用程式負載平衡器或 Classic Load Balancer 資源的攻擊時，他們可能會加速擴展作為額外的保護措施。

• Shield 會根據基 AWS 礎結構的可用容量來計算某些 AWS 資源的容量。這些資源類型包括網路負載平衡器 (NLB) 和透過閘道負載平衡器或路由流量的資源。 AWS Network Firewall

注意

透過附加受防護進階保護的 EIP 來保護您的網路負載平衡器。您可以使用 SRT，根據基礎應用程式的預期流量和容量來建置自訂的緩和措施。

當 Shield 進行緩解時，Shield 在緩解邏輯中定義的初始速率限制會同樣套用到每個 Shield 牌 DDoS 緩解系統。例如，如果 Shield 放置了每秒 100,000 個封包 (pps) 限制的緩和措施，則每個位置一開始會允許 100,000 pps。然後，Shield 會持續彙總緩和指標以確定實際的流量比率，並使用該比率調整每個位置的速率限制。這樣可以防止誤判，並確保緩和措施不會過於寬鬆。