缓解功能 - Amazon WAFAmazon Firewall Manager、和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

缓解功能

Amazon Shield DDoS 缓解的主要功能如下:

  • 数据包验证:可确保每个被检查的数据包都符合预期的结构,并且对其协议有效。支持的协议验证包括 IP、TCP(包括标头和选项)、UDP、ICMP、DNS 和 NTP。

  • 访问控制列表(ACL)和整形器:ACL 根据特定属性评估流量,要么丢弃匹配的流量,要么将其映射到整形器。整形器限制匹配流量的数据包速率,丢弃多余的数据包以容纳到达目的地的容量。Amazon Shield 检测和 Shield Response Team (SRT) 工程师可以为预期流量提供专用的速率分配,并对属性与已知 DDoS 攻击向量匹配的流量进行更严格的速率分配。ACL 可以匹配的属性包括端口、协议、TCP 标志、目标地址、来源国家和数据包负载中的任意模式。

  • 怀疑评分:这利用 Shield 对预期流量的了解来对每个数据包进行分数。与已知良好流量模式更接近的数据包会被赋予较低的可疑分数。观察已知的不良流量属性可能会增加数据包的可疑分数。当需要对数据包进行速率限制时,Shield 会先丢弃可疑分数较高的数据包。这有助于 Shield 缓解已知和未修补的 DDoS 攻击,同时避免误报。

  • TCP SYN 代理:它通过发送 TCP SYN Cookie 来挑战新连接,然后再允许它们传递到受保护的服务,从而防止 TCP SYN 泛洪。Shield DDoS 缓解措施提供的 TCP SYN 代理是无状态的,这使其能够在不达到状态耗尽的情况下缓解已知最大的 TCP SYN 泛洪攻击。这是通过与 Amazon 服务集成以移交连接状态来实现的,而不是在客户端和受保护的服务之间维护持续的代理。TCP SYN 代理目前在亚马逊 CloudFront 和亚马逊 Route 53 上可用。

  • 速率分布:这会根据流向受保护资源的流量的入口模式不断调整每个位置的整形器值。这样可以防止对可能无法均匀进入 Amazon 网络的客户流量进行速率限制。