本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Shield CloudFront 和 Route 53 的缓解逻辑
Shield DDoS 缓解措施会持续检查 53 号公路 CloudFront 的流量。这些服务在全球分布的 Amazon 边缘网络上运行,使您可以广泛访问Shield的DDoS缓解能力,并通过更接近最终用户的基础设施交付应用程序。
-
CloudFront— Shield DDoS 缓解措施仅允许对网络应用程序有效的流量通过该服务。这可以自动防范许多常见的 DDoS 向量,例如 UDP 反射攻击。
CloudFront 保持与应用程序来源的持续连接,通过与 Shield TCP SYN 代理功能集成,TCP SYN 洪水会自动缓解,传输层安全 (TLS) 在边缘终止。这些组合功能可确保您的应用程序源仅接收格式正确的 Web 请求,并保护其免受低层 DDoS 攻击、连接泛洪和 TLS 滥用的侵害。
CloudFront 结合使用 DNS 流量方向和任播路由。这些技术通过缓解靠近源头的攻击,提供故障隔离以及确保访问容量以缓解已知最大规模的攻击,从而提高应用程序的弹性。
-
Route 53:Shield 缓解措施仅允许有效的 DNS 请求到达服务。Shield 使用可疑评分来缓解 DNS 查询泛洪,该评分会优先考虑已知良好的查询,并降低包含可疑或已知 DDoS 攻击属性的查询的优先级。
Route 53 使用随机分片为每个托管区域(包括 IPv4 和 IPv6)提供一组唯一的四个解析器 IP 地址。每个 IP 地址对应于 Route 53 位置的不同子集。每个位置子集都由权威 DNS 服务器组成,这些服务器仅与任何其他子集中的基础设施部分重叠。这样可以确保如果用户查询因任何原因失败,则在重试时将成功提供该查询。
Route 53 使用任播路由,根据网络邻近程度,将 DNS 查询定向到最近的边缘站点。任播还将 DDoS 流量分散到许多边缘站点,从而防止攻击集中在单个位置。
除了缓解速度外, CloudFront 53号公路还为Shield的全球分布容量提供了广泛的访问权限。要利用这些功能,请将这些服务用作动态或静态 Web 应用程序的入口点。
要了解有关使用 CloudFront 和 Route 53 保护 Web 应用程序的更多信息,请参阅如何使用亚马逊 CloudFront 和 Amazon Route 53 帮助保护动态 Web 应用程序免受 DDoS 攻击