缓解操作

数据包验— 这可确保每个被检查的数据包都符合预期的结构，并且对其协议有效。支持的协议验证包括 IP、TCP（包括标头和选项）、UDP、ICMP、DNS 和 NTP。

访问控制列表 (ACL) 和整形器— ACL 根据特定属性评估流量，然后丢弃匹配的流量或将其映射到整形器。整形器限制匹配流量的数据包速率，丢弃多余的数据包以控制到达目的地的音量。Amazon Shield检测和Shield 响应小组 (SRT) 工程师可以为预期流量提供专用的速率分配，并对属性与已知 DDoS 攻击媒介匹配的流量提供更严格的速率分配。ACL 可以匹配的属性包括端口、协议、TCP 标志、目标地址、来源国家/地区和数据包有效负载中的任意模式。

怀解得分— 这利用Shield对预期流量的了解来对每个数据包应用分数。更接近已知良好流量模式的数据包会被分配较低的怀疑分数。观察已知的不良流量属性可能会增加数据包的可疑分数。当需要对数据包进行速率限制时，Shield 会首先丢弃怀疑分数较高的数据包。这有助于 Shield 缓解已知和零日 DDoS 攻击，同时避免误报。

TCP SYN 代理— 这通过发送 TCP SYN cookie 在允许新连接传递到受保护的服务之前对其进行质询，从而提供针对 TCP SYN 泛洪的保护。Shield DDoS 缓解措施提供的 TCP SYN 代理是无状态的，这使它能够在不达到状态耗尽的情况下缓解已知最大的 TCP SYN 洪水攻击。这是通过与集成来实现的Amazon服务移交连接状态，而不是在客户端和受保护的服务之间保持连续的代理。TCP SYN 代理目前在亚马逊上可用 CloudFront Amazon Route 53。

速率分配— 这会根据流向受保护资源的流量进入模式不断调整每个位置的整形器值。这可以防止可能无法进入的客户流量的速率限制Amazon网络均匀。