使用 SRT 設定針對 DDoS 攻擊的自訂緩解措施

此頁面提供使用 SRT 建置自訂 DDoS 攻擊緩解措施的說明。

對於彈性 IPs(EIPs) 和 AWS Global Accelerator 標準加速器，您可以使用 SRT 來設定自訂緩解措施。如果您知道在置放緩解措施時應強制執行的特定邏輯，這會很有用。例如，您可能只想要允許來自特定國家/地區的流量、強制執行特定速率限制、設定選用驗證、不允許片段，或只允許符合封包承載中特定模式的流量。

常見的自訂緩解措施範例包括：

• 模式比對 – 如果您操作與用戶端應用程式互動的服務，您可以選擇比對這些應用程式獨有的已知模式。例如，您可以操作遊戲或通訊服務，要求最終使用者安裝您分發的特定軟體。您可以在應用程式傳送至服務的每個封包中包含魔術數字。您可以比對非分段 TCP 或 UDP 封包承載和標頭的最多 128 個位元組 （個別或連續）。相符項目可以十六進位表示法表示為封包承載開始時的特定位移，或已知值之後的動態位移。例如，緩解措施可以尋找位元組，0x01然後預期 0x12345678會是接下來的四個位元組。

• DNS 特定 – 如果您使用 Global Accelerator 或 Amazon Elastic Compute Cloud (Amazon EC2) 等服務來操作自己的權威 DNS 服務，您可以請求自訂緩解措施來驗證封包，以確保它們是有效的 DNS 查詢，並套用可疑評分來評估 DNS 流量特有的屬性。

若要查詢如何使用 SRT 建置自訂緩解措施，請在 下建立支援案例 AWS Shield。若要進一步了解如何建立 AWS Support 案例，請參閱 入門 AWS Support。