Wir stellen vor: ein neues Konsolenerlebnis für AWS WAF
Sie können das aktualisierte Erlebnis jetzt verwenden, um überall in der Konsole auf AWS WAF Funktionen zuzugreifen. Weitere Informationen finden Sie unter Arbeiten mit der Konsole.
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Liste von AWS Shield Funktionen zur DDoS-Abwehr
Die Hauptmerkmale der AWS Shield DDoS-Abwehr sind die folgenden:
-
Paketvalidierung — Dadurch wird sichergestellt, dass jedes geprüfte Paket einer erwarteten Struktur entspricht und für sein Protokoll gültig ist. Zu den unterstützten Protokollvalidierungen gehören IP, TCP (einschließlich Header und Optionen), UDP, ICMP, DNS und NTP.
-
Zugriffskontrolllisten (ACLs) und Shaper — Eine ACL bewertet den Datenverkehr anhand bestimmter Attribute und verwirft den entsprechenden Datenverkehr entweder oder ordnet ihn einem Shaper zu. Der Shaper begrenzt die Paketrate für den entsprechenden Datenverkehr und verwirft überschüssige Pakete, um das Volumen einzudämmen, das das Ziel erreicht. AWS Shield Die Techniker des Detection and Shield Response Teams (SRT) können spezielle Ratenzuweisungen für den erwarteten Verkehr und restriktivere Ratenzuweisungen für den Datenverkehr mit Attributen bereitstellen, die bekannten DDoS-Angriffsvektoren entsprechen. Zu den Attributen, denen eine ACL entsprechen kann, gehören der Port, das Protokoll, die TCP-Flags, die Zieladresse, das Quellland und beliebige Muster in der Paketnutzlast.
-
Bewertung von Verdachtsfällen — Dabei wird das Wissen, das Shield über den erwarteten Datenverkehr hat, genutzt, um jedem Paket eine Bewertung zuzuweisen. Paketen, die sich eher an Muster für zweifelsfrei funktionierenden Verkehr halten, wird eine niedrigere Verdachtsbewertung zugewiesen. Die Beobachtung von bekannten schlechten Datenverkehrsattributen kann die Verdachtsquote für ein Paket erhöhen. Wenn es notwendig ist, Pakete mit einer Ratenbegrenzung zu begrenzen, verwirft Shield zuerst Pakete mit höheren Verdachtswerten. Auf diese Weise kann Shield sowohl bekannte als auch Zero-Day-DDoS-Angriffe abwehren und gleichzeitig Fehlalarme vermeiden.
-
TCP-SYN-Proxy — Dieser bietet Schutz vor TCP-SYN-Floods, indem TCP-SYN-Cookies gesendet werden, um neue Verbindungen herauszufordern, bevor sie an den geschützten Dienst weitergeleitet werden. Der von Shield DDoS Mitigation bereitgestellte TCP-SYN-Proxy ist zustandslos, sodass er die größten bekannten TCP-SYN-Flood-Angriffe abwehren kann, ohne die State-Erschöpfung zu erreichen. Dies wird erreicht, indem AWS Dienste integriert werden, um den Verbindungsstatus zu übergeben, anstatt einen kontinuierlichen Proxy zwischen dem Client und dem geschützten Dienst aufrechtzuerhalten. Der TCP-SYN-Proxy ist derzeit auf Amazon CloudFront, Amazon Route 53 und AWS Global Accelerator verfügbar.
-
Ratenverteilung — Dadurch werden die Shaper-Werte für jeden Standort kontinuierlich auf der Grundlage des eingehenden Datenverkehrs zu einer geschützten Ressource angepasst. Dadurch wird verhindert, dass der Kundendatenverkehr, der möglicherweise nicht gleichmäßig in das Netzwerk gelangt, begrenzt wird. AWS