本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Shield缓解操作Amazon区域
在中启动的资源Amazon区域受到以下内容的保护Amazon Shield由 Shield 资源级检测放置的 DDoS 缓解系统。区域资源包括弹性 IP (EIP)、传统负载均衡器和应用程序负载均衡器。
在实施缓解措施之前,Shield 会识别目标资源及其容量。Shield 使用容量来确定其缓解措施应允许转发到资源的最大总流量。缓解措施中的访问控制列表 (ACL) 和其他整形器可能会减少某些流量允许的流量,例如与已知 DDoS 攻击媒介匹配的流量或预计不会出现大量流量的流量。这进一步限制了缓解措施允许 UDP 反射攻击或具有 TCP SYN 或 FIN 标志的 TCP 流量的流量。
Shield 会针对每种资源类型确定容量并以不同的方式放置缓解措施。
-
对于 Amazon EC2 实例或附加到 Amazon EC2 实例的 EIP,Shield 会根据实例类型和其他实例属性(例如实例是否启用了增强联网)来计算容量。
-
对于Application Load Balancer 或Classic Load Balancer,Shield 会分别计算负载均衡器的每个目标节点的容量。这些资源的 DDoS 攻击缓解是由 Shield DDoS 缓解措施和负载均衡器自动扩展的组合提供的。当 Shield 响应小组 (SRT) 参与攻击Application Load Balancer 或Classic Load Balancer 资源时,他们可能会加快扩展速度,以此作为额外的保护措施。
-
Shield 计算一些人的容量Amazon资源基于底层的可用容量Amazon基础设施。这些资源类型包括网络负载均衡器 (NLB) 和通过网关负载均衡器路由流量的资源或Amazon Network Firewall.
通过附加受 Shield Advanced 保护的 EIP 来保护您的网络负载均衡器。您可以使用 SRT 构建基于底层应用程序的预期流量和容量的自定义缓解措施。
当 Shield 实施缓解措施时,Shield 在缓解逻辑中定义的初始速率限制将同样应用于每个 Shield DDoS 缓解系统。例如,如果 Shield 设置的缓解措施限制为每秒 100,000 个数据包 (pps),则它最初将在每个位置允许 100,000 pps。然后,Shield会持续汇总缓解指标以确定实际的流量比率,并使用该比率调整每个位置的速率限制。这样可以防止误报,并确保缓解措施不会过于宽松。