Amazon Shield缓解操作 CloudFront 和 Route 53 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Shield缓解操作 CloudFront 和 Route 53

Shield DDoS 缓解措施会持续检查流量 CloudFront 和 Route 53。这些服务在全球分布的网络中运行Amazon边缘站点,使您能够广泛访问Shield的DDoS缓解能力,并从距离最终用户更近的基础设施交付应用程序。

  • CloudFront— Shield DDoS 缓解措施仅允许对 Web 应用程序有效的流量通过该服务。这提供了针对许多常见的 DDoS 向量的自动防护,例如 UDP 反射攻击。

    CloudFront 保持与应用程序源的持久连接,通过与 Shield TCP SYN 代理功能集成,TCP SYN 泛洪会自动缓解,传输层安全 (TLS) 在边缘终止。这些组合功能可确保您的应用程序源只接收格式正确的 Web 请求,并防止低层 DDoS 攻击、连接泛洪和 TLS 滥用。

    CloudFront 使用 DNS 流量方向和任播路由的组合。这些技术通过减少接近源的攻击、提供故障隔离以及确保容量访问权限以缓解最大的已知攻击,从而提高了应用程序的弹性。

  • Route 53— Shield 缓解措施仅允许有效的 DNS 请求到达该服务。Shield 使用可疑评分来缓解 DNS 查询泛洪,该评分会优先处理已知良好的查询,并取消包含可疑或已知 DDoS 攻击属性的查询的优先级。

    Route 53 使用随机分片为每个托管区域(IPv4 和 IPv6)提供一组唯一的四个解析器 IP 地址。每个 IP 地址对应于 Route 53 位置的不同子集。每个位置子集由权威 DNS 服务器组成,这些服务器仅与任何其他子集中的基础设施部分重叠。这样可以确保如果用户查询因任何原因失败,则重试时将成功提供该查询。

    Route 53 使用任播路由根据网络邻近度将 DNS 查询定向到最近的节点。Anycast还将DDoS流量分散到许多边缘站点,从而防止攻击集中在单个位置。

除了缓解的速度之外, CloudFront 和 Route 53 提供了 Shield 全球分布式容量的广泛通道。要利用这些功能,请将这些服务用作动态或静态 Web 应用程序的入口点。

了解有关使用的更多信息 CloudFront 和 Route 53 来保护 Web 应用程序,请参阅如何使用亚马逊帮助保护动态 Web 应用程序免受 DDoS 攻击 CloudFront 还有Amazon Route. 要了解有关 Route 53 上的故障隔离的更多信息,请参阅全局故障隔离案例研究.