基础架构层威胁的检测逻辑 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

基础架构层威胁的检测逻辑

用于保护目标的检测逻辑Amazon针对基础设施层(第 3 层和第 4 层)中的 DDoS 攻击的资源取决于资源类型以及资源是否受到保护Amazon Shield Advanced.

Amazon 的检测 CloudFront 和 Amazon Route 53

当你使用提供 Web 应用程序时 CloudFront 和 Route 53,发送到应用程序的所有数据包都由完全内联的 DDoS 缓解系统进行检查,该系统不会引入任何可观察的延迟。DDoS 攻击 CloudFront 实时缓解了分配和 Route 53 托管区域。无论您是否使用这些保护措施都适用Amazon Shield Advanced.

遵循使用的最佳实践 CloudFront 和 Route 53 作为 Web 应用程序的入口点,尽可能快地检测和缓解 DDoS 事件。

检测Amazon Global Accelerator和区域服务

资源级检测保护Amazon Global Accelerator在中启动的标准加速器和资源Amazon区域,例如传统负载均衡器、Application Load Balanced 和弹性 IP 地址 (EIP)。监控这些资源类型是否有可能表明存在需要缓解的 DDoS 攻击的流量提升。每分钟,每一分钟都有交通Amazon资源被评估。如果向资源的流量提高,则会执行额外的检查来衡量资源的容量。

Shield 执行以下标准检查:

  • Amazon Elastic Compute Cloud (Amazon EC2) 实例,附加到 Amazon EC2 实例的 EIP— Shield 从受保护的资源中检索容量。容量取决于目标的实例类型、实例大小以及其他因素,例如实例是否使用增强型联网。

  • Classic Load Balancers 和 Application Load Balancers— Shield 从目标负载均衡器节点中检索容量。

  • 连接到网络负载均衡器的 EIP— Shield 从目标负载均衡器中检索容量。容量独立于目标负载均衡器的组配置。

  • Amazon Global Accelerator标准加速器— Shield 检索容量,该容量基于端点配置。

这些评估是跨网络流量的多个维度进行的,例如端口和协议。如果超出目标资源的容量,Shield 会放置 DDoS 缓解措施。Shield 放置的缓解措施将减少 DDoS 流量,但可能无法消除它。如果在与已知 DDoS 攻击媒介一致的流量维度上超出了资源容量的一小部分,Shield 也可能会放置缓解措施。Shield 以有限的生存时间(TTL)放置了这种缓解措施,只要攻击持续,它就会延续这种缓解措施。

注意

Shield 放置的缓解措施将减少 DDoS 流量,但可能无法消除它。你可以用诸如这样的 Shield 决方案来增强Amazon Network Firewall或者像主机上的防火墙iptables以防止应用程序处理对您的应用程序无效或不是由合法最终用户生成的流量。

Shield 高级保护功能将以下内容添加到现有的 Shield 牌检测活动中:

  • 更低的检测阈值— Shield Advanced 将缓解措施放在计算容量的一半。这可以为缓慢上升的攻击提供更快的缓解措施,并缓解具有更加模糊的体积签名的攻击。

  • 间歇性攻击保护— 根据攻击的频率和持续时间,Shield Advanced 放置缓解措施,生存时间(TTL)呈指数级增长。这可以在资源经常成为目标时以及在短时间突发中发生攻击时,缓解措施可以更长时间。

  • 运行状况检测— 当您将 Route 53 运行状况检查与 Shield Advanced 受保护的资源关联时,运行状况检查的状态将在检测逻辑中使用。在检测到的事件期间,如果运行状况检查健康,Shield Advanced 需要更大的信心,然后再进行缓解。相反,如果运行状况检查不健康,Shield Advanced 可能甚至在信心建立之前实施缓解措施。此功能有助于避免误报,并对影响应用程序的攻击提供更快的反应。有关使用 Shield Advanced 运行状况检查的信息,使用运行状况检查配置基于运行状况的检测.