Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅中国的 Amazon Web Services 服务入门。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

Amazon Shield Advanced事件详细信息

您可以在事件控制台页面的底部查看有关事件检测、缓解和主要贡献者的详细信息。本部分可能包含合法流量和可能有害流量的混合流量，可能既代表传递到受保护资源的流量，也代表被Shield缓解措施屏蔽的流量。

亚马逊不包括缓解指标 CloudFront 或 Amazon Route 53 资源，因为这些服务受缓解系统的保护，该系统始终处于启用状态，不需要对单个资源进行缓解。

详细信息部分因信息是针对基础架构层还是应用层事件而有所不同。

应用程序层事件详细信息

对于应用层（第 7 层）事件，检测和缓解操作选项卡显示基于从中获得的信息的检测指标Amazon WAF日志。缓解指标基于Amazon WAF相关 Web ACL 中配置为阻止不需要的流量的规则。缓解规则生效之前消退的事件流量不在缓解指标中。这可能会导致检测图中显示的 Web 请求流量与缓解图中显示的允许和阻塞指标之间存在差异。

利用应用层资源，您可以选择在 Web ACL 中定义自己的缓解规则，也可以向 Shield 响应团队 (SRT) 请求帮助，也可以向亚马逊请求帮助 CloudFront 发行版，你可以将 Shield Advanced 配置为应用自动缓解措施。有关这些选项的信息，请参阅 响应 DDoS 事件。

这些区域有：主要贡献者应用层事件选项卡显示事件的前 5 名参与者，按来源 IP、来源国家/地区和目标 URL 等维度分类。

贡献者信息基于对合法和可能有害流量的请求。规模较大的事件和请求源分布不高度的事件更有可能有可识别的顶级贡献者。大规模分布式攻击可能有任意数量的来源，因此很难确定攻击的主要贡献者。如果 Shield Advanced 未确定特定类别的重要贡献者，则会将数据显示为不可用。

基础设施层事件详细信息

对于基础设施层（第 3 层或第 4 层）事件，检测和缓解操作选项卡显示基于网络流量采样的检测指标和基于缓解系统观测到的流量的缓解指标。缓解指标可以更精确地衡量进入您的资源的流量。

在 Shield 实施缓解措施之前消退的事件流量不在缓解指标中。这可能会导致检测图中显示的流量与缓解图中显示的通过和丢弃指标之间存在差异。

Shield 会自动为受保护的资源类型创建缓解措施：弹性 IP (EIP)、Classic Load Balancer (CLB)、Application Load Balancer (ALB) 和Amazon Global Accelerator标准加速器。EIP 地址的缓解指标以及Amazon Global Accelerator标准加速器表示传递和丢弃的数据包的数量。

这些区域有：主要贡献者基础设施层事件选项卡列出了多达 100 个主要贡献者在多个流量维度上的指标。详细信息包括可以识别至少五个重要流量来源的任何维度的网络层属性。流量来源的示例是来源 IP 和来源 ASN。

贡献者指标基于对合法流量和潜在有害流量的抽样网络流量。规模较大的活动和流量来源分布不高度的事件更有可能有可识别的顶级贡献者。大规模分布式攻击可能有任意数量的来源，因此很难确定攻击的主要贡献者。如果 Shield 没有为特定指标或类别确定任何重要贡献者，则会将数据显示为不可用。

在基础设施层 DDoS 攻击中，流量源可能被欺骗或反射。攻击者故意伪造了一个伪造的来源。反射源是检测到的流量的真正来源，但它不是攻击的自愿参与者。例如，攻击者通过反射互联网上通常合法的服务的攻击，可能会向目标产生大量放大的流量。在这种情况下，源信息可能是有效的，但它不是攻击的实际来源。这些因素可能会限制基于数据包标头屏蔽源的缓解技术的可行性。