本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Shield 的工作原理
Amazon Shield StandardAmazon Shield Advanced并为网络和传输层(第 3 层和第 4 层)以及应用层(第 7 层)的Amazon资源提供保护,使其免受分布式拒绝服务 (DDoS) 攻击。DDoS 攻击是指多个受感染的系统试图向目标充斥流量的攻击。DDoS 攻击可以阻止合法的最终用户访问目标服务,并可能由于流量过大而导致目标崩溃。
Amazon Shield提供保护,抵御各种已知的 DDoS 攻击媒介和零日攻击媒介。Shield 检测和缓解旨在提供针对威胁的覆盖范围,即使在检测时服务尚未明确知道威胁也是如此。
Shield 检测到的攻击类别包括以下几类:
-
网络容量攻击(第 3 层)— 这是基础设施层攻击向量的子类别。这些向量试图使目标网络或资源的容量饱和,从而拒绝向合法用户提供服务。
-
网络协议攻击(第 4 层)— 这是基础设施层攻击向量的子类别。这些向量滥用协议拒绝向目标资源提供服务。网络协议攻击的一个常见示例是 TCP SYN 泛洪,它会耗尽服务器、负载均衡器或防火墙等资源上的连接状态。网络协议攻击也可以是大规模的。例如,较大的 TCP SYN 泛洪可能意图使网络容量饱和,同时耗尽目标资源或中间资源的状态。
-
应用层攻击(第 7 层)— 此类攻击向量试图通过向应用程序充斥对目标有效的查询(例如 Web 请求泛洪)来拒绝向合法用户提供服务。