AWS Shield 緩解事件的方式

保護應用程式的緩解邏輯可能會因應您的應用程式架構而有所不同。當您使用 Amazon CloudFront 和 Amazon Route 53 來保護 Web 應用程式時，您將受益於 Web 和 DNS 使用案例專屬的緩和措施，以及保護服務的所有流量。如果應用程式的進入點是在 AWS 區域中執行的資源，緩和邏輯會根據服務、資源類型和您的使用情況而有所不同 AWS Shield Advanced。

AWS DDoS 緩解系統由 Shield 工程師開發，並與 AWS 服務緊密整合。工程師會考慮您架構的各個層面，例如目標資源的容量和健康狀態。Shield 工程師會持續監控 DDoS 緩解系統的有效性和效能，並在發現或預期新威脅時迅速做出回應。

您可以架構應用程式以因應升高的流量或負載而進行擴充，以協助確保應用程式不受較小的要求洪水影響。如果您使用 Shield Advanced 來保護您的資源，您將獲得涵蓋範圍，以防止因 DDoS 攻擊而發生的雲帳單意外增加。

基礎架構緩和措

對於基礎架構層攻擊， AWS Shield DDoS 緩解系統存在於 AWS 網路邊界和 AWS 邊緣位置。在整個 AWS 基礎架構中放置多個層級的安全控制可 defense-in-depth 為您的雲端應用程式提供服務。

Shield 在來自互聯網的所有入口點維護 DDoS 緩解系統。當 Shield 偵測到 DDoS 攻擊時，會針對每個輸入點重新路由流量，透過同一位置的 DDoS 緩解系統。這不會產生任何可觀察到的額外延遲，而且在所有 AWS 區域和所有節點提供超過 100 TeraBits 每秒 (Tbps) 的緩解容量。Shield 可保護您的資源可用性，而無需將流量重新路由到外部或遠端清洗中心，進而增加延遲。

• 在 AWS 網路邊界，對於任何 AWS 服務或資源，DDoS 緩解系統可減輕來自網際網路的基礎架構層攻擊。當 Shield 牌偵測或 Shield 牌回應小組 (SRT) 的工程師發出訊號時，系統會執行緩解措施。

• 在節 AWS 點，DDoS 緩解系統會持續檢查轉發到 Amazon CloudFront 分發和 Amazon Route 53 託管區域的每個封包，而不論其來源為何。必要時，系統會套用專為 Web 和 DNS 流量設計的緩和措施。使用 Amazon CloudFront 和 Amazon Route 53 來保護您的 Web 應用程式的另一個好處是，即可立即緩解 DDoS 攻擊，而不需要 Shield 偵測訊號。

應用程式層緩和措施

Shield Advanced 為您已啟用 Shield 進階保護的 Amazon CloudFront 分發和應用程式負載平衡器提供 Web 應用程式層緩解措施。啟用防護時，您可以將 AWS WAF Web ACL 與資源建立關聯，以啟用 Web 應用程式層偵測。此外，您還可以選擇啟用自動應用程式層緩解功能，這會指示 Shield Advanced 在 DDoS 攻擊期間為您管理保護。

Shield 僅針對已啟用 Shield 進階和自動應用程式層緩解的資源，提供應用程式層攻擊的自訂緩和措施。透過自動緩解 AWS WAF 功能，Shield Advanced 會對來自已知 DDoS 來源的要求執行 AWS WAF 速率限制，並自動新增和管理自訂保護，以回應偵測到的 DDoS 攻擊。如需此類型緩和措施的詳細資訊，請參閱防 Shield 進階如何管理自動緩解。

Web ACL 中以速率為基礎的規則 (無論是由您新增還是由 Shield Advanced 自動應用程式層緩和功能新增) 都可以在攻擊達到可偵測等級之前緩解攻擊。如需偵測的詳細資訊，請參閱應用程式層威脅的偵測邏輯。