本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Shield 高级自动应用层 DDoS 缓解
您可以将 Shield Advanced 配置为自动响应,通过计算或阻止作为攻击一部分的 Web 请求来缓解对受保护应用程序层资源的应用层(第 7 层)攻击。此选项是对您通过 Shield Advanced 添加的应用层保护的补充Amazon WAFWeb ACL 和基于速率的规则。有关控制台步骤的信息,请参阅配置应用层 DDoS 保护.
Shield Advanced 将当前的流量模式与历史流量基准进行比较,以检测可能表明 DDoS 攻击的偏差。当您为资源启用自动应用层 DDoS 缓解功能时,Shield Advanced 会通过创建、评估和部署自定义来响应检测到的 DDoS 攻击Amazon WAF规则。
Shield Advanced 自动应用层 DDoS 缓解注意事项
以下列表描述了 Shield Advanced 自动应用层 DDoS 缓解的注意事项,并描述了您可能需要采取的应对措施。
自动应用层 DDoS 缓解仅适用于使用最新版本的 Web ACLAmazon WAF(v2)。您不能将自动缓解操作Amazon WAF经典Web ACL
-
为了检测和自动缓解应用程序层攻击,Shield Advanced 利用历史流量访问您的受保护资源。感知应用程序的正常流量模式使得 Shield Advanced 能够将攻击流量与流向应用程序的正常流量隔离开来。如果您的受保护资源还没有正常应用程序流量的历史记录(例如,在应用程序启动之前)或者长时间缺少生产流量,我们建议在中启用自动缓解功能
COUNT模式,直到为资源建立了正常应用程序流量的历史记录。 -
自动应用层 DDoS 缓解措施仅在针对历史流量进行测试后,才会制定缓解 DDoS 攻击的规则,以验证这些规则可以缓解攻击流量并且不会影响应用程序的正常流量。
-
从 DDoS 攻击开始到 Shield Advanced 发布自动缓解规则之间的时间因事件而异。某些 DDoS 攻击可能会在部署缓解规则之前结束。其他攻击可能会在缓解措施已经到位时发生,因此可能会从事件一开始就缓解。
-
适用于通过内容传输网络 (CDN) 接收任何流量的应用程序负载均衡器,例如 Amazon CloudFront,Shield Advanced 针对这些Application Load Balancer 资源的应用程序层自动缓解功能将降低。Shield Advanced 使用客户端流量属性来识别攻击流量并将其与流向应用程序的普通流量隔离开来,CDN 可能不会保留或转发原始的客户端流量属性。如果您使用 CloudFront,我们建议在 CloudFront 分片分配。
自动应用层 DDoS 缓解功能不会与保护组交互。您可以为保护组中的资源启用自动缓解功能,但是 Shield Advanced 不会根据保护组的发现自动应用攻击缓解措施。Shield Advanced 会对单个资源应用自动攻击缓解措施。
目录