本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 Shield 响应小组 (SRT) 配置自定义缓解措施
对于您的弹性 IP (EIP) 和 Amazon Global Accelerator 标准加速器,您可以与 Shield 响应小组 (SRT) 合作配置自定义缓解措施。如果您知道在实施缓解措施时应强制执行的特定逻辑,则这一操作很有帮助。例如,您可能希望仅允许来自某些国家/地区的流量,强制执行特定的速率限制,配置可选验证,禁止分段,或者只允许与数据包有效载荷中特定模式匹配的流量。
常见自定义缓解措施示例:
-
模式匹配:如果您运营的服务与客户端应用程序交互,则可以选择匹配这些应用程序特有的已知模式。例如,您可能经营游戏或通信服务,要求最终用户安装您分配的特定软件。您可以在应用程序发送给您的服务的每个数据包中加入一个幻数字。您最多可以匹配 128 字节(单独或连续)的未分段 TCP 或 UDP 数据包有效负载和标头。匹配可以用十六进制表示法表示,即从数据包有效载荷开始的特定偏移量,或已知值之后的动态偏移量。例如,缓解措施可以查找字节
0x01,然后期望0x12345678为接下来的四个字节。 -
特定于 DNS:如果您使用诸如 Global Accelerator 或 Amazon Elastic Compute Cloud (Amazon EC2) 之类的服务运营自己的权威 DNS 服务,则可以请求自定义缓解措施来验证数据包以确保它们是有效的 DNS 查询,并应用可疑评分来评估特定于 DNS 流量的属性。
要询问如何与 SRT 合作构建自定义缓解措施,请在 Amazon Shield下方创建支持案例。要了解有关创建 Amazon Web Services Support 案例的更多信息,请参阅入门 Amazon Web Services Support。