Amazon Shield 的工作原理 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Shield 的工作原理

分布式拒绝服务 (DDoS) 攻击是指多个被入侵系统尝试用流量来“淹没”目标 (如网络或 Web 应用程序) 的攻击。DDoS 攻击会阻止合法用户访问服务,并且可能导致系统因流量过大而崩溃。

Amazon 针对 DDoS 攻击提供两种级别的防护:Amazon Shield Standard 和 Amazon Shield Advanced。

Amazon Shield Standard

全部Amazon客户从中获益的自动保护Amazon Shield Standard,无任何附加费用。Amazon Shield Standard可以抵御以您的网站或应用程序为目标的最为常见、经常发生的网络和传输层 DDoS 攻击。虽然Amazon Shield Standard有助于保护所有Amazon客户,如果您使用 Amazon CloudFront 和 Amazon Route 53,则可以获得特殊的优势。这些服务获得全面的可用性保护,可以防范所有已知的基础设施(第 3 层和第 4 层)攻击。

Amazon Shield Advanced

要获得更高级别的攻击防护,您可以订购 Amazon Shield Advanced。订购 Amazon Shield Advanced 并添加要保护的特定资源时,Amazon Shield Advanced 会为资源上运行的 Web 应用程序提供扩展的 DDoS 攻击防护。

注意

Amazon Shield Advanced仅保护您在中指定的资源,或通过Amazon Firewall ManagerShield Advanced 策略。它不会自动保护您的资源。

您可以为以下任何资源类型添加 Shield Advanced Advanced 防护:

  • Amazon CloudFront 分配

  • Amazon Route 53 托管区

  • Amazon Global Accelerator 加速器

  • Application Load Balancer

  • Elastic Load Balancing (ELB) 负载均衡器

  • Amazon Elastic Compute Cloud (Amazon EC2) 弹性 IP 地址

保护网络负载均衡器

您不能将 Shield 高级保护直接连接到 Network Load Balancer (NLB),但是您可以通过先将 Amazon EC2 弹性 IP 地址关联到 Network Load Balancer,然后将弹性 IP 添加为 Shield Advanced 受保护的资源来保护网络负载均衡器。某些缩放工具,如Amazon Elastic Beanstalk,请勿让您自动将弹性 IP 附加到 Network Load Balancer。对于这些情况,您需要首先将弹性 IP 关联到 Network Load Balancer,然后手动将 “Shield 高级” 保护添加到弹性 IP 中。

例如,如果您使用高级 Shield 功能保护弹性 IP 地址,Shiad Advanced 会自动将您的网络 ACL 部署到Amazon攻击期间的网络。当您的网络 ACL 位于网络边界时,Shield ad Advanced 可以提供保护以防范更大的 DDoS 事件。通常情况下,网络 ACL 会应用到您的 Amazon VPC 中的 Amazon EC2 实例附近。网络 ACL 只可缓解您的 Amazon VPC 和实例可以处理的攻击。如果连接到您的 Amazon EC2 实例的网络接口可以处理高达 10 Gbps,那么超过 10 Gbps 的卷将会减速并可能阻止通往此实例的流量。攻击期间,Shield Advanced 会将您的网络 ACL 提升至Amazon边界,它可以处理多个 TB 的流量。您的网络 ACL 能够为您的资源提供超出您的网络典型容量的保护。有关网络 ACL 的更多信息,请参阅网络 ACL

Shield ad Advanced 检测攻击和实施缓解措施的时机取决于您用于 Web 应用程序的架构。该时机的选择因一系列因素而异,比如您使用的实例类型、您的实例大小以及实例类型是否支持增强联网。

作为Amazon Shield Advanced客户,您可以联系全天候AmazonShield 响应小组 (SRT) 在 DDoS 攻击期间获得协助。您还可以独占访问高级、实时的指标和报告,以深入了解您的 Amazon 资源遭受的攻击。在 SRT 的协助下,Amazon Shield Advanced提供智能 DDoS 攻击检测和缓解功能,这些功能不仅适用于网络层 (第 3 层) 和传输层 (第 4 层) 攻击,还适用于应用程序层 (第 7 层) 攻击。

要使用 SRT 的服务,您必须订阅业务 Support 计划企业 Support 计划.

Amazon Shield Advanced 还提供了一些成本保护措施,以防止您的 Amazon 账单金额因针对受保护资源的 DDoS 攻击而出现大幅增长。

Amazon WAF 随 Amazon Shield Advanced 提供,没有任何额外成本。有关 Amazon Shield Advanced 定价的更多信息,请参阅 Amazon Shield Advanced 定价

向资源添加 Amazon Shield Advanced 保护时,您可以选择在保护中添加一项或多项附加内容。保护的附加内容因资源类型而异,可以包括以下内容:

  • 自定义Amazon WAFWeb ACL 或基于速率的规则,如上一节所述,第 3 步:配置第 7 层 DDoS 缓解.

  • 用于基于运行状况的检测的 Amazon Route 53 运行状况检查,如下节所述。

Shield Shield Advanced 检测

Shield Advanced 基于运行状况的检测使用Amazon资源来提高攻击检测和缓解的响应能力和准确性。要使用基于运行状况的检测,请在 Route 53 中为资源定义运行状况检查,然后将其与 Shiad Advanced Shield 护相关联。有关 Route 53 运行状况检查的信息,请参阅Amazon Route 53 如何检查您的资源的运行 Health 况创建和更新运行状况检查.

注意

请勿对 Route 53 托管区域使用运行状况检查。

您可以为以下类型资源启用基于运行状况的检测:

  • 弹性 IP 地址和全局加速器加速器— 基于运行状况的检测可提高网络层和传输层事件检测和缓解的准确性。

    使用 Shield Advanced 保护弹性 IP 地址或全局加速器加速器时,您可以降低实施缓解措施所需的阈值。Shield ad Advanced 有助于更快地针对攻击提供缓解措施以及针对小型攻击提供缓解措施,即使流量在应用程序的处理能力之内也是如

    添加基于运行状况的检测后,如果出现关联 Route 53 运行状况检查结果不正常的情况,Shield ad Advanced 可以更快地以较低的阈值实施缓解措施。

  • CloudFront 分配和应用程序负载均衡器— 基于运行状况的检测可以提高 Web 请求泛洪检测的准确性。

    使用 Shield Advanced 保护 CloudFront 分发或 Application Load Balancer 时,如果流量统计出现显著偏差并且流量的自相似性出现明显变化,您就会收到 Web 请求泛洪检测警报。自相似性是根据用户代理、提交者和 URI 等属性确定的。

    添加基于运行状况的检测后,有希望提高接收警报的及时性和所收警报的可操作性。启用基于运行状况的检测后,如果出现关联 Route 53 运行状况检查结果不正常的情况,Shield ad Advanced 会需要较小的偏差才会发出警报,并且可以更快地报告 当关联 Route 53 运行状况检查结果正常时,Shield ad Advanced 需要较大的偏差才会发出警报。

Shield Shield Advanced

启用主动联系选项后,如果与受保护资源关联的 Amazon Route 53 运行状况检查显示资源在 Shield Advanced 检测到的事件期间运行状况变得不佳,Shield 响应团队 (SRT) 会直接与您联系。这样一来,当您的应用程序可用性可能受到疑似攻击影响时,您可以更快地与专家联系。

注意

要对受保护的资源使用主动参与,您必须将 Amazon Route 53 运行状况检查与资源相关联,如Shield Shield Advanced 检测.

主动联系适用于弹性 IP 地址和Amazon Global Accelerator加速器以及 Amazon CloudFront 分发和 Application Load Balancer 的 Web 请求泛洪。

要使用主动联系,请为希望 SRT 监控的资源配置 SShield ad Advanced 基于运行状况检查的检测。然后,为主动联系指定 1-10 个联系人。SRT 会在检测到与运行状况不佳的事件时使用该信息与您联系。提供联系信息后,即可启用主动联系。

注意

您必须订购 Business Support 计划企业支持计划才能使用主动联系。

Shield Advanced 组

Amazon Shield Advanced保护组为您提供了一种自助式方法,通过将多个受保护的资源作为一个单元来自定义检测和缓解范围。资源分组可以提供许多好处。

  • 提高检测准确性。

  • 减少不可操作的事件通知。

  • 扩大缓解措施的覆盖范围,以包括在事件期间也可能受到影响的受保护资源。

  • 加快缓解具有多个相似目标的攻击的速度。

  • 促进对新创建的受保护资源的自动保护。

在蓝色/绿色交换等情况下,保护组可以帮助减少误报,在这种情况下,资源在接近零负载和满载之间交替。另一个示例是,如果您经常创建和删除资源,同时保持组成员之间共享的负载级别。对于这样的情况,监视单个资源可能会导致误报,而监视资源组的运行状况则不会。

您可以将保护组配置为包括所有受保护的资源、特定资源类型的所有资源或单独指定的资源。满足您的保护组条件的新受保护资源将自动包含在您的保护组中。受保护的资源可归属于多个保护组。

有关选项以及如何管理保护组的信息,请参阅管理Amazon Shield Advanced保护组.

DDoS 攻击的类型

Amazon Shield Advanced 针对多种类型的攻击提供大范围的保护。例如:

用户数据报协议 (UDP) 反射攻击

攻击者能够仿冒请求来源,并使用 UDP 从服务器引出高流量的响应。转向被仿冒和攻击的 IP 地址的额外网络流量会拖慢目标服务器,并阻止合法用户访问所需资源。

SYN 泛洪

SYN 泛洪攻击的目的是通过将连接保持在半开放状态来耗尽系统的可用资源。当用户连接到 TCP 服务 (如 Web 服务器) 时,客户端将发送 SYN 数据包。服务器将返回确认,客户端将返回自己的确认,完成三次握手。在 SYN 泛洪中,永远不会返回第三个确认,服务器将一直等待响应。这会使其他用户无法连接到服务器。

DNS 查询泛洪

在 DNS 查询泛洪中,攻击者使用多个 DNS 查询来耗尽 DNS 服务器的资源。Amazon Shield Advanced可以帮助抵御针对 Route 53 DNS 服务器上 DNS 查询泛洪攻击。

HTTP 泛洪/缓存清除 (第 7 层) 攻击

借助 HTTP 泛洪 (包括 GET 和 POST 泛洪),攻击者可以发送看似来自 Web 应用程序的真实用户的多个 HTTP 请求。缓存清除攻击是一种 HTTP 泛洪,它在 HTTP 请求的查询字符串中使用禁止使用的位于边缘的缓存内容的变体,并强制从源 Web 服务器提供内容,从而导致对源 Web 服务器造成附加的、可能具有破坏性的压力。

这些区域有:AmazonShield 响应小组

与Amazon Shield Advanced,则复杂的 DDoS 事件可以升级到AmazonShield 响应团队 (SRT),具有丰富的保护经验Amazon、卓越亚马逊及其子公司。

对于第 3 层和第 4 层攻击,Amazon 会提供自动攻击检测并代表您主动应用缓解措施。对于第 7 层 DDoS 攻击,Amazon尝试检测和通知Amazon Shield Advanced客户的 CloudWatch 警报,但不主动应用缓解措施。这是为了避免意外丢掉有效的用户流量。

您也可以在可能的攻击前或在攻击期间联系 SRT,以便开发和部署自定义缓解措施。例如,如果您正在运行一个 Web 应用程序且只需打开端口 80 和 443,您可以与 SRT 一起预先配置一个 ACL,只 “允许” 打开端口 80 和 443。

Amazon Shield Advanced 客户有两个选项可用于缓解第 7 层攻击:

  • 提供您自己的缓解措施:Amazon WAF 随 Amazon Shield Advanced 提供,没有任何额外成本。您可以创建自己的 Amazon WAF 规则以缓解 DDoS 攻击。Amazon 提供了预配置的模板,旨在帮助您快速入门。这些模板包含一组 Amazon WAF 规则,设计用于阻止基于 Web 的常见攻击。您可以通过自定义这些模板来满足自己的业务需求。有关更多信息,请参阅 Amazon WAF 安全自动化

    在这种情况下,不涉及 SRT。但是,您可以咨询 SRT,以便在实施最佳实践 (如Amazon WAF常见保护。

  • 与 SRT 接洽: 如果您需要在应对攻击时获得更多支持,可以联系Amazon Web Services SupportCenter. 重大和紧急案例将直接转给 DDoS 专家。与Amazon Shield Advanced,复杂案例可上报至 SRT,SRT 在保护方面拥有丰富的经验Amazon、卓越亚马逊及其子公司。如果您是 Amazon Shield Advanced 客户,您还可以征求对高严重性案例的特殊处理指导。

    对您的案例的响应时间取决于您选择的严重性以及响应时间,这些时间在Amazon Web Services SupportPLAN页.

    SRT 可帮助您筛选 DDoS 攻击,以识别攻击签名和模式。经您同意后,SRT 将创建并部署Amazon WAF规则来减轻攻击。

何时Amazon Shield Advanced检测到针对您的应用程序发起的大型第 7 层攻击,SRT 可能会主动与您联系。SRT 对 DDoS 事件进行分类并创建Amazon WAF缓解措施。然后 SRT 会联系您,请求您同意应用Amazon WAF规则。

重要

SRT 可帮助您分析可疑活动,并帮助您缓解问题。这种缓解措施通常需要 SRT 在您的账户中创建或更新 Web 访问控制列表 (Web ACL)。但是,他们需要您的授权才能执行此操作。我们建议作为启用Amazon Shield Advanced,您可以按中的步骤操作。第 5 步:配置AmazonSRT 支持主动向 SRT 提供所需权限。提前提供权限有助于防止在实际发生攻击时耽误问题的解决。

要使用 SRT 的服务,您必须订阅业务 Support 计划企业 Support 计划.

帮我选择一个防护计划

在许多情况下,Amazon Shield Standard 保护足以满足您的需求。Amazon 服务和技术旨在提供应对最常见的 DDoS 攻击所需的恢复能力。用 Amazon WAF 及其他 Amazon 服务的组合作为深度防御策略来补充此内置防护,可以提供足够的攻击防护和缓解能力。此外,如果您拥有专业技术知识,并希望完全控制第 7 层攻击的监控和缓解,Amazon Shield Standard 可能是合适的选择。

如果您的企业或行业可能成为 DDoS 攻击的目标,或者您希望让Amazon可以处理第 3 层、第 4 层和第 7 层攻击的大多数 DDoS 防护和缓解职责,Amazon Shield Advanced可能是最好的选择。Amazon Shield Advanced不仅提供第 3 层和第 4 层防护和缓解,还包括Amazon WAF不收取额外费用,并为第 7 层攻击提供 SRT 协助。如果您使用 Amazon WAF 和 Amazon Shield Standard,则必须设计自己的第 7 层防护和缓解流程。

Amazon Shield Advanced 客户还能查看针对其 Amazon 资源的 DDoS 攻击的详细信息,这很有好处。虽然 Amazon Shield Standard 会针对最常见的第 3 层和第 4 层攻击提供自动防护,但针对这些攻击提供的详细信息有限。Amazon Shield Advanced 为您提供大量有关第 3 层、第 4 层和第 7 层 DDoS 攻击的详细信息的数据。

Amazon Shield Advanced 还可针对以 Amazon 资源为目标的 DDoS 攻击提供成本保护。这项重要功能有助于防止在您的账单中出现由 DDoS 攻击引起的意外高峰。如果成本可预测性对您而言很重要,Amazon Shield Advanced 可提供这种稳定性。

下表显示 Amazon Shield Standard 与 Amazon Shield Advanced 的比较。

功能 Amazon Shield Standard Amazon Shield Advanced
Active Monitoring
网络流量监控
自动始终开启检测
自动化应用程序 (第 7 层) 流量监控
DDoS Mitigations
有助于防范常见的 DDoS 攻击,如 SYN 泛洪和 UDP 反射攻击
对其他 DDoS 缓解容量的访问权限,包括在攻击期间网络 ACL 到 Amazon 边界的自动部署。
自定义应用程序层 (第 7 层) 缓解 是,通过用户创建的 Amazon WAF ACL。产生标准 Amazon WAF 费用。 是,通过用户创建或 SRT 创建Amazon WAFACL。含在 Amazon Shield Advanced 订阅中。
即时规则更新 是,通过用户创建的 Amazon WAF ACL。产生标准 Amazon WAF 费用。
用于应用程序漏洞保护的 Amazon WAF 是,通过用户创建的 Amazon WAF ACL。产生标准 Amazon WAF 费用。
Visibility and Reporting
第 3/4 层攻击通知
第 3/4 层攻击取证报告 (源 IP、攻击媒介等)
第 7 层攻击通知 是,通过 Amazon WAF。产生标准 Amazon WAF 费用。
第 7 层攻击取证报告 (Top talker 报告、采样请求等) 是,通过Amazon WAF您创建的 Web ACL。产生标准 Amazon WAF 费用。 是,通过Amazon WAF您创建的 Web ACL 或 SRT 代表您创建的 Web ACL。Amazon WAF包含在您的 Shield 高级订阅中。
第 3/4/7 层攻击历史报告
Shield Response Team (SRT) Support(必须订购 Business Support 计划或企业支持计划。)
高严重性事件期间的事件管理
攻击期间的自定义缓解
攻击后分析
Cost Protection(针对 DDoS 扩展费用的服务积分)
Elastic Load Balancing (ELB) 负载均衡器
Amazon EC2 弹性 IP 地址
Amazon CloudFront 分配
Amazon Route 53 托管区
Amazon Global Accelerator 加速器

Amazon Shield Advanced 权益(包括 DDoS 成本保护),需要您履行 1 年期的订阅承诺。

注意

虽然这两者Amazon Shield Standard和Amazon Shield Advanced可提供针对 DDoS 攻击的强大防护功能,我们建议您还要使用 Amazon CloudWatch 和Amazon CloudTrail来监视您的所有Amazon服务。有关监控的信息Amazon WAF通过使用 CloudWatch 和 CloudTrail,请参阅监控 Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced使用 Amazon CloudTrail 记录 API 调用.