本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
基础设施层威胁的检测逻辑
用于保护目标 Amazon 资源免受基础设施层(第 3 层和第 4 层)中 DDoS 攻击的检测逻辑取决于资源类型以及是否使用 Amazon Shield Advanced保护资源。
检测亚马逊 CloudFront 和亚马逊 53 号公路
当您使用 CloudFront 和 Route 53 为 Web 应用程序提供服务时,该应用程序的所有数据包都将由完全内联的 DDoS 缓解系统进行检查,该系统不会引入任何可观察到的延迟。实时缓解了针对 CloudFront 分布和 Route 53 托管区域的 DDoS 攻击。无论您是否使用 Amazon Shield Advanced,这些保护措施都适用。
尽可能遵循使用 CloudFront 和 Route 53 作为 Web 应用程序入口点的最佳实践,以最快地检测和缓解 DDoS 事件。
检测 Amazon Global Accelerator 和区域服务
资源级检测可保护 Amazon Global Accelerator 标准加速器和在 Amazon 区域中启动的资源,例如经典负载均衡器、应用程序负载均衡器和弹性 IP 地址 (EIP)。监控到这些资源类型的流量上升情况,可能表明存在需要缓解的 DDoS 攻击。每分钟都会评估每种 Amazon 资源的流量。如果资源流量增加,则会执行其他检查以测量该资源的容量。
Shield 会执行以下标准检查:
-
Amazon Elastic Compute Cloud (Amazon EC2) 实例、附加到Amazon EC2 实例的 EIP:Shield 会从受保护资源检索容量。容量取决于目标的实例类型、实例大小和其他因素,例如实例是否使用增强联网。
-
经典负载均衡器和应用程序负载均衡器:Shield 从目标负载均衡器节点检索容量。
-
连接到网络负载均衡器的 EIP:Shield 从目标负载均衡器检索容量。容量与目标负载均衡器的组配置无关。
-
Amazon Global Accelerator 标准加速器 — Shield 根据端点配置检索容量。
这些评估跨网络流量的多个维度进行,例如端口和协议。如果超过目标资源的容量,Shield 会实施 DDoS 缓解措施。Shield 采取的缓解措施将减少 DDoS 流量,但可能无法将其消除。如果在与已知的 DDoS 攻击向量一致的流量维度上超过资源容量的一小部分,Shield 也可以采取缓解措施。Shield 将这种缓解设置为有限生存时间 (TTL),只要攻击仍在继续,它就会延长该缓解措施。
注意
Shield 采取的缓解措施将减少 DDoS 流量,但可能无法将其消除。您可以使用诸如 Amazon Network Firewall 或主机防火墙之类的解决方案来增强 Shield,iptables以防止您的应用程序处理对您的应用程序无效或不是由合法最终用户生成的流量。
Shield Advanced 保护在现有的 Shield 检测活动中增加了以下内容:
-
降低检测阈值:Shield Advanced 将缓解措施设置为计算容量的一半。这可以更快地缓解上升速度较慢的攻击,并缓解体量特征较为模糊的攻击。
-
间歇性攻击防护:Shield Advanced 根据攻击的频率和持续时间,将缓解的生存时间 (TTL) 以指数形式递增。当资源经常成为攻击目标以及攻击发生在短时间内时,这可以延长缓解措施的持续时间。
-
运行状况检测:将 Route 53 运行状况检查与 Shield Advanced 受保护的资源关联时,将在检测逻辑中使用运行状况检查的状态。在检测到的事件中,如果运行状况检查显示状况正常,Shield Advanced 需要进一步确信该事件是攻击,才会采取缓解措施。相反,如果运行状况检查显示状况不佳,Shield Advanced 可能会在确信之前就采取缓解措施。此功能有助于避免误报,并且可以更快地对影响应用程序的攻击做出反应。有关使用 Shield Advanced 进行运行状况检查的信息,请参阅 使用运行状况检查进行基于运行状况的检测。