本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Shield 的工作原理
Amazon Shield Standard和Amazon Shield Advanced针对分布式拒绝服务 (DDoS) 攻击Amazon网络和传输层(第 3 层和第 4 层)以及应用层(第 7 层)的资源。DDoS 攻击是指多个被入侵系统尝试用流量来 “淹没” 目标。DDoS 攻击可能会阻止合法的最终用户访问目标服务,并且可能导致目标因流量过大而崩溃。
Amazon Shield提供针对各种已知的 DDoS 攻击媒介和零日攻击媒介的防护。Shield 检测和缓解旨在提供针对威胁的覆盖范围,即使服务在检测时并未明确知道这些威胁。
Shield 检测到的攻击类别包括以下几种:
-
网络容量攻击 (layer 3)— 这是基础设施层攻击媒介的子类别。这些向量试图使目标网络或资源的容量饱和,从而拒绝向合法用户提供服务。
-
网络协议攻击 (layer 4)— 这是基础设施层攻击媒介的子类别。这些媒介滥用协议来拒绝向目标资源提供服务。网络协议攻击的一个常见例子是 TCP SYN 泛洪,它会耗尽服务器、负载均衡器或防火墙等资源的连接状态。网络协议攻击也可能是巨大的。例如,较大的 TCP SYN 泛洪可能意在使网络容量饱和,同时耗尽目标资源或中间资源的状态。
-
应用程序层攻击 (第 7 层)— 此类攻击向量试图通过向应用程序充斥对目标有效的查询(例如 Web 请求泛洪)来拒绝向合法用户提供服务。
目录