如何 AWS Shield 和 Shield 高級工作

AWS Shield Standard 並 AWS Shield Advanced 針對網路和傳輸層 (第 3 層和第 4 層) 和應用程式層 (第 7 層) 的 AWS 資源提供分散式拒絕服務 (DDoS) 攻擊的保護。DDoS 攻擊是一種攻擊，其中多個受感染的系統試圖用流量淹沒目標。DDoS 攻擊可以防止合法的最終用戶訪問目標服務，並可能導致目標由於流量過大而崩潰。

AWS Shield 針對各種已知的 DDoS 攻擊媒介和零時差攻擊媒介提供保護。防 Shield 偵測與緩解功能的設計目的是提供涵蓋範圍，即使服務在偵測時並未明確知道威脅。Shield 標準是自動提供的，在您使用時不收取額外費用 AWS。

Shield 牌偵測到的攻擊類別包括：

• 網路容量攻擊 (第 3 層) — 這是基礎架構層攻擊媒介的子類別。這些媒介試圖飽和目標網絡或資源的能力，以拒絕向合法用戶提供服務。

• 網路通訊協定攻擊 (第 4 層) — 這是基礎架構層攻擊媒介的子類別。這些媒介濫用協議以拒絕對目標資源的服務。網路通訊協定攻擊的常見範例是 TCP SYN 洪水，可能會耗盡伺服器、負載平衡器或防火牆等資源上的連線狀態。網絡協議攻擊也可以是容量的。例如，較大的 TCP SYN 洪水可能會打算飽和網路的容量，同時也會耗盡目標資源或中繼資源的狀態。

• 應用程式層攻擊 (第 7 層) — 這類攻擊媒介會嘗試使用對目標有效的查詢充滿應用程式 (例如 Web 要求洪水)，藉此拒絕向合法使用者提供服務。

內容

• AWS Shield Standard 概述
• AWS Shield Advanced 概述
  • AWS Shield Advanced 受保護資源
  • AWS Shield Advanced 功能和選項
  • 決定是否訂閱 AWS Shield Advanced 及套用其他保護
• DDoS 攻擊的例子
• 如何 AWS Shield 偵測事件
  • 基礎架構層威脅的偵測邏輯
  • 應用程式層威脅的偵測邏輯
  • 應用程式中多個資源的偵測邏輯
• AWS Shield 緩解事件的方式
  • 緩解功能
  • AWS Shield 53 號公路 CloudFront 和緩解邏輯
  • AWS ShieldAWS 區域的緩解邏輯
  • AWS ShieldAWS Global Accelerator 標準加速器的緩解邏輯
  • AWS Shield Advanced 彈性 IP 的緩解邏輯
  • AWS Shield Advanced Web 應用程式的緩解邏輯