**Wir stellen vor: ein neues Konsolenerlebnis für AWS WAF**

Sie können das aktualisierte Erlebnis jetzt verwenden, um überall in der Konsole auf AWS WAF Funktionen zuzugreifen. Weitere Informationen finden Sie unter [Arbeiten mit der Konsole](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# So funktionieren AWS Shield und Shield Advanced
<a name="ddos-overview"></a>

Auf dieser Seite wird der Unterschied zwischen AWS Shield Standard und erklärt AWS Shield Advanced. Es beschreibt auch die Klassen von Angriffen, die Shield erkennt.

AWS Shield Standard und AWS Shield Advanced bieten Schutz vor Distributed-Denial-of-Service-Angriffen (DDoS) für AWS Ressourcen auf der Netzwerk- und Transportebene (Schicht 3 und 4) sowie auf der Anwendungsebene (Schicht 7). Ein DDo S-Angriff ist ein Angriff, bei dem mehrere kompromittierte Systeme versuchen, ein Ziel mit Datenverkehr zu überfluten. Ein DDo S-Angriff kann legitime Endbenutzer am Zugriff auf die Zieldienste hindern und das Ziel aufgrund des überwältigenden Datenverkehrs zum Absturz bringen. 

AWS Shield bietet Schutz vor einer Vielzahl bekannter DDo S-Angriffsvektoren und Zero-Day-Angriffsvektoren. Shield Detection and Mitigation wurde entwickelt, um Bedrohungen abzuwehren, auch wenn sie dem Dienst zum Zeitpunkt der Entdeckung nicht ausdrücklich bekannt waren.

Shield Standard wird automatisch und ohne Aufpreis bereitgestellt, wenn Sie es verwenden AWS. Für einen höheren Schutz vor Angriffen können Sie AWS Shield Advanced abonnieren.

Zu den Kategorien von Angriffen, die Shield erkennt, gehören:
+ **Volumetrische Netzwerkangriffe (Schicht 3)** — Dies ist eine Unterkategorie von Angriffsvektoren auf Infrastrukturebene. Diese Vektoren versuchen, die Kapazität des Zielnetzwerks oder der Zielressource zu überlasten, um legitimen Benutzern den Dienst zu verweigern.
+ **Netzwerkprotokollangriffe (Schicht 4)** — Dies ist eine Unterkategorie von Angriffsvektoren auf Infrastrukturebene. Diese Vektoren missbrauchen ein Protokoll, um der Zielressource den Zugriff zu verweigern. Ein häufiges Beispiel für einen Netzwerkprotokollangriff ist eine TCP-SYN-Flood, die den Verbindungsstatus von Ressourcen wie Servern, Load Balancern oder Firewalls erschöpfen kann. Ein Netzwerkprotokollangriff kann auch volumetrisch sein. Eine größere TCP-SYN-Flut könnte beispielsweise darauf abzielen, die Kapazität eines Netzwerks zu überlasten und gleichzeitig den Status der Zielressource oder der Zwischenressourcen zu erschöpfen.
+ **Angriffe auf Anwendungsebene (Schicht 7)** — Diese Kategorie von Angriffsvektoren versucht, legitimen Benutzern den Dienst zu verweigern, indem eine Anwendung mit Abfragen überflutet wird, die für das Ziel gültig sind, wie z. B. Fluten von Webanfragen.

**Contents**
+ [AWS Shield Standard -Übersicht](ddos-standard-summary.md)
+ [AWS Shield Advanced -Übersicht](ddos-advanced-summary.md)
+ [Liste der AWS Ressourcen, die AWS Shield Advanced schützen](ddos-advanced-summary-protected-resources.md)
+ [AWS Shield Advanced Fähigkeiten und Optionen](ddos-advanced-summary-capabilities.md)
+ [Entscheidung, ob zusätzliche Schutzmaßnahmen abonniert AWS Shield Advanced und angewendet werden sollen](ddos-advanced-summary-deciding.md)
+ [Beispiele für DDo S-Angriffe](types-of-ddos-attacks.md)
+ [Wie AWS Shield erkennt man Ereignisse](ddos-event-detection.md)
  + [AWS Shield Erkennungslogik für Bedrohungen auf Infrastrukturebene (Schicht 3 und Schicht 4)](ddos-event-detection-infrastructure.md)
  + [Shield Advanced Erkennungslogik für Bedrohungen auf Anwendungsebene (Schicht 7)](ddos-event-detection-application.md)
  + [Shield Advanced Erkennungslogik für mehrere Ressourcen in einer Anwendung](ddos-event-detection-multiple-resources.md)
+ [Wie AWS Shield mindert man Ereignisse](ddos-event-mitigation.md)
  + [Liste der AWS Shield DDo S-Abwehrfunktionen](ddos-event-mitigation-features.md)
  + [AWS Shield Mitigationslogik für CloudFront und Route 53](ddos-event-mitigation-logic-continuous-inspection.md)
  + [AWS Shield Minderungslogik für Regionen AWS](ddos-event-mitigation-logic-regions.md)
  + [AWS Shield Risikominderungslogik für AWS Global Accelerator Standardbeschleuniger](ddos-event-mitigation-logic-gax.md)
  + [AWS Shield Advanced Schadensbegrenzungslogik für Elastic IPs](ddos-event-mitigation-logic-adv-eip.md)
  + [AWS Shield Advanced Schadensbegrenzungslogik für Webanwendungen](ddos-event-mitigation-logic-adv-web-app.md)

# AWS Shield Standard -Übersicht
<a name="ddos-standard-summary"></a>

AWS Shield ist ein verwalteter Dienst zum Schutz vor Bedrohungen, der den Perimeter Ihrer Anwendung schützt. Der Perimeter ist der erste Eintrittspunkt für Anwendungsdatenverkehr, der von außerhalb des AWS Netzwerks kommt. 

Um zu ermitteln, wo sich Ihr Anwendungsperimeter befindet, sollten Sie berücksichtigen, wie Benutzer über das Internet auf Ihre Anwendung zugreifen. Wenn sich der erste Einstiegspunkt in einer AWS Region befindet, ist der Anwendungsperimeter Ihre Amazon Virtual Private Cloud (VPC). Wenn Benutzer über Amazon Route 53 zu Ihrer Anwendung weitergeleitet werden und zuerst über Amazon CloudFront oder auf die Anwendung zugreifen AWS Global Accelerator, beginnt der Anwendungsperimeter am Rand des AWS Netzwerks. 

Shield bietet Vorteile bei der DDo S-Erkennung und -Abwehr für alle Anwendungen AWS, auf denen ausgeführt wird, aber die Entscheidungen, die Sie beim Entwurf Ihrer Anwendungsarchitektur treffen, wirken sich auf Ihre DDo S-Resilienz aus. DDoS-Resilienz ist die Fähigkeit Ihrer Anwendung, während eines Angriffs weiterhin innerhalb der erwarteten Parameter zu arbeiten. 

Alle AWS Kunden profitieren ohne zusätzliche Kosten vom automatischen Schutz von Shield Standard. Shield Standard schützt vor den häufigsten, am häufigsten auftretenden Netzwerk- und DDo Transport-Layer-S-Angriffen, die auf Ihre Website oder Anwendungen abzielen. Shield Standard trägt zwar zum Schutz aller AWS Kunden bei, Sie profitieren jedoch besonders von Amazon Route 53-Hosting-Zonen, CloudFront Amazon-Distributionen und AWS Global Accelerator Standardbeschleunigern. Diese Ressourcen erhalten umfassenden Verfügbarkeitsschutz vor allen bekannten Angriffen auf Netzwerk- und Transportebene.

# AWS Shield Advanced -Übersicht
<a name="ddos-advanced-summary"></a>

AWS Shield Advanced ist ein verwalteter Service, mit dem Sie Ihre Anwendung vor externen Bedrohungen wie DDo S-Angriffen, volumetrischen Bots und Versuchen zur Ausnutzung von Sicherheitslücken schützen können. Für einen höheren Schutz vor Angriffen können Sie AWS Shield Advanced abonnieren. 

Wenn Sie Shield Advanced abonnieren und Ihre Ressourcen schützen, bietet Shield Advanced erweiterten DDo S-Angriffsschutz für diese Ressourcen. Der Schutz, den Sie von Shield Advanced erhalten, kann je nach Architektur und Konfiguration variieren. Verwenden Sie die Informationen in diesem Handbuch, um robuste Anwendungen mit Shield Advanced zu erstellen und zu schützen und um zu eskalieren, wenn Sie Hilfe von Experten benötigen. 

**Shield Advanced-Abonnements und AWS WAF Kosten**  
Ihr Shield Advanced-Abonnement deckt die Kosten für die Nutzung von AWS WAF Standardfunktionen für Ressourcen ab, die Sie mit Shield Advanced schützen. Die AWS WAF Standardgebühren, die durch Ihre Shield Advanced-Schutzmaßnahmen abgedeckt werden, sind die Kosten pro Schutzpaket (Web-ACL), die Kosten pro Regel und der Grundpreis pro Million Anfragen für die Prüfung von Webanfragen, bis zu 1.500 WCUs und bis zur Standardgröße.

Wenn Sie die automatische Abwehr auf Anwendungsebene DDo S von Shield Advanced aktivieren, wird Ihrem Schutzpaket (Web-ACL) eine Regelgruppe hinzugefügt, die 150 Web-ACL-Kapazitätseinheiten (WCUs) verwendet. Diese werden auf die WCU-Nutzung in Ihrem Protection Pack (Web-ACL) WCUs angerechnet. Weitere Informationen finden Sie unter [Automatisierung der Risikominderung auf Anwendungsebene DDo S mit Shield Advanced](ddos-automatic-app-layer-response.md), [Schutz der Anwendungsebene mit der Shield Advanced-Regelgruppe](ddos-automatic-app-layer-response-rg.md) und [Web-ACL-Kapazitätseinheiten (WCUs) in AWS WAF](aws-waf-capacity-units.md).

Ihr Abonnement AWS WAF für Shield Advanced deckt nicht die Nutzung von Ressourcen ab, die Sie nicht mit Shield Advanced schützen. Es deckt auch keine zusätzlichen, nicht standardmäßigen AWS WAF Kosten für geschützte Ressourcen ab. Beispiele für nicht standardmäßige AWS WAF Kosten sind die Kosten für Bot-Kontrolle, für CAPTCHA Regelaktionen, für Websites, die mehr als 1.500 ACLs Benutzer verwenden WCUs, und für die Überprüfung des Anfragetexts, der über die Standardgröße hinausgeht. Die vollständige Liste finden Sie auf der Seite mit den AWS WAF Preisen. Ihr Abonnement für Shield Advanced beinhaltet den Zugriff auf die Layer 7 DDo Anti-S Amazon Managed Rule-Gruppe. Im Rahmen Ihres Abonnements erhalten Sie in einem Kalendermonat bis zu 50 Milliarden Anfragen an geschützte Shield AWS WAF Advanced-Ressourcen. Anfragen über 50 Milliarden werden gemäß der AWS Shield Advanced Preisseite in Rechnung gestellt.

Vollständige Informationen und Preisbeispiele finden Sie unter [Shield Pricing](https://aws.amazon.com/shield/pricing/) and [AWS WAF Pricing](https://aws.amazon.com/waf/pricing/).

**Abrechnung des Shield Advanced-Abonnements**  
Wenn Sie ein AWS Channel-Wiederverkäufer sind, wenden Sie sich an Ihr Account-Team, um Informationen und Beratung zu erhalten. Diese Rechnungsinformationen gelten für Kunden, die keine AWS Channel-Wiederverkäufer sind. 

Für alle anderen gelten die folgenden Abonnement- und Abrechnungsrichtlinien:
+ Bei Konten, die Mitglieder einer AWS Organizations Organisation sind, werden die Shield Advanced-Abonnements mit dem Zahlerkonto der Organisation in AWS Rechnung gestellt, unabhängig davon, ob das Zahlerkonto selbst abonniert ist. 
+ Wenn Sie mehrere Konten abonnieren, die sich in derselben [Kontenfamilie mit AWS Organizations konsolidierter Abrechnung](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html) befinden, deckt ein Abonnementpreis alle abonnierten Konten in der Familie ab. Die Organisation muss Eigentümer all ihrer Ressourcen sein. AWS-Konten 
+ Wenn Sie mehrere Konten für mehrere Organisationen abonnieren, können Sie trotzdem eine Abonnementgebühr für alle Organisationen, Konten und Ressourcen zahlen, vorausgesetzt, Sie besitzen alle Konten. Wenden Sie sich an Ihren Kundenbetreuer oder AWS Support und beantragen Sie eine Gebührenbefreiung der AWS Shield Advanced Abonnementgebühren für alle Organisationen außer einer. 

Detaillierte Preisinformationen und Beispiele finden Sie unter [AWS Shield Preisgestaltung](https://aws.amazon.com/shield/pricing/). 

**Topics**

# Liste der AWS Ressourcen, die AWS Shield Advanced schützen
<a name="ddos-advanced-summary-protected-resources"></a>

**Anmerkung**  
Shield Advanced-Schutzmaßnahmen sind nur für Ressourcen aktiviert, die Sie ausdrücklich in Shield Advanced angegeben haben oder die Sie durch eine AWS Firewall Manager Shield Advanced-Richtlinie schützen. Shield Advanced schützt Ihre Ressourcen nicht automatisch. 

Sie können Shield Advanced für erweiterte Überwachung und Schutz mit den folgenden Ressourcentypen verwenden:
+  CloudFront Amazon-Distributionen. Für CloudFront eine kontinuierliche Bereitstellung schützt Shield Advanced jede Staging-Distribution, die einer geschützten Primärdistribution zugeordnet ist. 
+ Gehostete Zonen von Amazon Route 53.
+ AWS Global Accelerator Standardbeschleuniger.
+ Amazon EC2 Elastic IP-Adressen. Shield Advanced schützt die Ressourcen, die geschützten Elastic IP-Adressen zugeordnet sind. 
+  EC2 Amazon-Instances durch Zuordnung zu Amazon EC2 Elastic-IP-Adressen. 
+ Die folgenden Elastic Load Balancing (ELB) -Load Balancer:
  + Load Balancer für Anwendungen.
  + Classic Load Balancer.
  + Network Load Balancers über Verknüpfungen zu Amazon EC2 Elastic-IP-Adressen. 

Weitere Informationen zum Schutz dieser Ressourcentypen finden Sie unter. [Liste der Ressourcen, die AWS Shield Advanced schützen](ddos-protections-by-resource-type.md)

# AWS Shield Advanced Fähigkeiten und Optionen
<a name="ddos-advanced-summary-capabilities"></a>

AWS Shield Advanced Das Abonnement umfasst die folgenden Funktionen und Optionen. Diese ergänzen die DDo S-Erkennungs- und Abwehrfunktionen, die Sie bereits mit AWS erhalten. 
+ **AWS WAF Integration** — Shield Advanced verwendet AWS WAF Web ACLs, Regeln und Regelgruppen als Teil seines Schutzes auf Anwendungsebene. Weitere Informationen zu finden Sie AWS WAF unter[Wie AWS WAF funktioniert](how-aws-waf-works.md). 
**Anmerkung**  
Ihr Shield Advanced-Abonnement deckt die Kosten für die Nutzung von AWS WAF Standardfunktionen für Ressourcen ab, die Sie mit Shield Advanced schützen. Die AWS WAF Standardgebühren, die durch Ihre Shield Advanced-Schutzmaßnahmen abgedeckt werden, sind die Kosten pro Schutzpaket (Web-ACL), die Kosten pro Regel und der Grundpreis pro Million Anfragen für die Prüfung von Webanfragen, bis zu 1.500 WCUs und bis zur Standardgröße.  
Wenn Sie die automatische Abwehr auf Anwendungsebene DDo S von Shield Advanced aktivieren, wird Ihrem Schutzpaket (Web-ACL) eine Regelgruppe hinzugefügt, die 150 Web-ACL-Kapazitätseinheiten (WCUs) verwendet. Diese werden auf die WCU-Nutzung in Ihrem Protection Pack (Web-ACL) WCUs angerechnet. Weitere Informationen finden Sie unter [Automatisierung der Risikominderung auf Anwendungsebene DDo S mit Shield Advanced](ddos-automatic-app-layer-response.md), [Schutz der Anwendungsebene mit der Shield Advanced-Regelgruppe](ddos-automatic-app-layer-response-rg.md) und [Web-ACL-Kapazitätseinheiten (WCUs) in AWS WAF](aws-waf-capacity-units.md).  
Ihr Abonnement AWS WAF für Shield Advanced deckt nicht die Nutzung von Ressourcen ab, die Sie nicht mit Shield Advanced schützen. Es deckt auch keine zusätzlichen, nicht standardmäßigen AWS WAF Kosten für geschützte Ressourcen ab. Beispiele für nicht standardmäßige AWS WAF Kosten sind die Kosten für Bot-Kontrolle, für CAPTCHA Regelaktionen, für Websites, die mehr als 1.500 ACLs Benutzer verwenden WCUs, und für die Überprüfung des Anfragetexts, der über die Standardgröße hinausgeht. Die vollständige Liste finden Sie auf der Seite mit den AWS WAF Preisen. Ihr Abonnement für Shield Advanced beinhaltet den Zugriff auf die Layer 7 DDo Anti-S Amazon Managed Rule-Gruppe. Im Rahmen Ihres Abonnements erhalten Sie in einem Kalendermonat bis zu 50 Milliarden Anfragen an geschützte Shield AWS WAF Advanced-Ressourcen. Anfragen über 50 Milliarden werden gemäß der AWS Shield Advanced Preisseite in Rechnung gestellt.  
Vollständige Informationen und Preisbeispiele finden Sie unter [Shield Pricing](https://aws.amazon.com/shield/pricing/) and [AWS WAF Pricing](https://aws.amazon.com/waf/pricing/).
+ **Automatische Abwehr von Anwendungsschicht DDo S** — Sie können Shield Advanced so konfigurieren, dass es automatisch reagiert, um Angriffe der Anwendungsschicht (Schicht 7) auf Ihre geschützten Ressourcen abzuwehren. Mit automatischer Abwehr erzwingt Shield Advanced eine AWS WAF Ratenbegrenzung für Anfragen aus bekannten DDo S-Quellen und fügt als Reaktion auf erkannte DDo S-Angriffe automatisch benutzerdefinierte AWS WAF Schutzmaßnahmen hinzu und verwaltet diese. Sie können die automatische Abwehr so konfigurieren, dass die Webanfragen, die Teil eines Angriffs sind, gezählt oder blockiert werden. 

  Weitere Informationen finden Sie unter [Automatisierung der Risikominderung auf Anwendungsebene DDo S mit Shield Advanced](ddos-automatic-app-layer-response.md).
+ **Gesundheitsbasierte Erkennung** — Sie können Amazon Route 53-Zustandsprüfungen mit Shield Advanced als Grundlage für die Erkennung und Abwehr von Ereignissen verwenden. Health Checks überwachen Ihre Anwendung gemäß Ihren Spezifikationen und melden fehlerfrei, wenn Ihre Spezifikationen erfüllt werden, und ungesund, wenn dies nicht der Fall ist. Die Verwendung von Integritätsprüfungen mit Shield Advanced hilft dabei, Fehlalarme zu verhindern und ermöglicht eine schnellere Erkennung und Abwehr, wenn eine geschützte Ressource fehlerhaft ist. Sie können die zustandsbasierte Erkennung für jeden Ressourcentyp außer für gehostete Route 53-Zonen verwenden. Das proaktive Engagement von Shield Advanced ist nur für Ressourcen verfügbar, für die die gesundheitsbasierte Erkennung aktiviert ist. 

  Weitere Informationen finden Sie unter [Gesundheitsbasierte Erkennung mithilfe von Zustandsprüfungen mit Shield Advanced und Route 53](ddos-advanced-health-checks.md).
+ **Schutzgruppen** — Sie können Schutzgruppen verwenden, um logische Gruppierungen Ihrer geschützten Ressourcen zu erstellen, um die gesamte Gruppe besser erkennen und abwehren zu können. Sie können die Kriterien für die Mitgliedschaft in einer Schutzgruppe so definieren, dass neu geschützte Ressourcen automatisch berücksichtigt werden. Eine geschützte Ressource kann mehreren Schutzgruppen angehören. 

  Weitere Informationen finden Sie unter [Gruppieren Sie Ihre Schutzmaßnahmen AWS Shield Advanced](ddos-protection-groups.md).
+ **Verbesserter Einblick in DDo S-Ereignisse und -Angriffe** — Shield Advanced bietet Ihnen Zugriff auf erweiterte Echtzeit-Metriken und Berichte für einen umfassenden Einblick in Ereignisse und Angriffe auf Ihre geschützten AWS Ressourcen. Sie können über die Shield Advanced-API und -Konsole sowie über CloudWatch Amazon-Metriken auf diese Informationen zugreifen. 

  Weitere Informationen finden Sie unter [Einblick in DDo S-Ereignisse mit Shield Advanced](ddos-viewing-events.md).
+ **Zentralisierte Verwaltung der Shield Advanced-Schutzmaßnahmen von AWS Firewall Manager** — Sie können den Firewall Manager verwenden, um den Shield Advanced-Schutz automatisch auf Ihre neuen Konten und Ressourcen anzuwenden und AWS WAF Regeln für Ihr Web bereitzustellen. ACLs Die Shield Advanced-Schutzrichtlinien von Firewall Manager sind für Shield Advanced-Kunden ohne zusätzliche Kosten enthalten. Sie können Ihre Shield Advanced-Überwachungsaktivitäten für Ihre Konten auch zentralisieren, indem Sie den Firewall Manager mit einem Amazon Simple Notification Service (SNS) -Thema oder verwenden. AWS Security Hub CSPM

  Weitere Informationen zur Verwendung von Firewall Manager zur Verwaltung von Shield Advanced-Schutzmaßnahmen finden Sie unter [AWS Firewall Manager](fms-chapter.md) und[AWS Shield Advanced Richtlinien im Firewall Manager verwenden](shield-policies.md). Informationen zu den Preisen von Firewall Manager finden Sie unter [AWS Firewall Manager Preise](https://aws.amazon.com/firewall-manager/pricing/).
+ **AWS Shield Response Team (SRT)** — Das SRT verfügt über umfangreiche Erfahrung im Schutz AWS von Amazon.com und seinen Tochtergesellschaften. Als AWS Shield Advanced Kunde können Sie sich jederzeit an das SRT wenden, um Unterstützung bei einem DDo S-Angriff zu erhalten, der die Verfügbarkeit Ihrer Anwendung beeinträchtigt. Sie können auch mit dem SRT zusammenarbeiten, um benutzerdefinierte Abhilfemaßnahmen für Ihre Ressourcen zu erstellen und zu verwalten. Um die Dienste des SRT nutzen zu können, müssen Sie auch den [Business Support Plan oder den [Enterprise Support](https://aws.amazon.com/premiumsupport/enterprise-support/) Plan](https://aws.amazon.com/premiumsupport/business-support/) abonniert haben.

  Weitere Informationen finden Sie unter [Verwaltete Reaktion auf DDo S-Ereignisse mit Unterstützung des Shield Response Team (SRT)](ddos-srt-support.md).
+ **Proaktives Engagement** — Bei proaktivem Engagement kontaktiert Sie das Shield Response Team (SRT) direkt, wenn die Amazon Route 53-Zustandsprüfung, die Sie mit Ihrer geschützten Ressource verknüpft haben, während eines von Shield Advanced erkannten Ereignisses fehlerhaft wird. Auf diese Weise können Sie schneller mit Experten in Kontakt treten, wenn die Verfügbarkeit Ihrer Anwendung durch einen vermuteten Angriff beeinträchtigt werden könnte. 

  Weitere Informationen finden Sie unter [Einrichtung eines proaktiven Engagements für das SRT, um Sie direkt zu kontaktieren](ddos-srt-proactive-engagement.md).
+ **Möglichkeiten zum Kostenschutz** — Shield Advanced bietet einen gewissen Kostenschutz vor Preisspitzen AWS , die durch einen DDo S-Angriff auf Ihre geschützten Ressourcen entstehen könnten. Dies kann die Deckung von Spitzenwerten bei den Gebühren für die ausgehende Datenübertragung (DTO) von Shield Advanced beinhalten. Shield Advanced bietet jeglichen Kostenschutz in Form von Shield Advanced-Servicegutschriften.

  Weitere Informationen finden Sie unter [AWS Shield Advanced Nach einem Angriff eine Gutschrift beantragen](ddos-request-service-credit.md). 

# Entscheidung, ob zusätzliche Schutzmaßnahmen abonniert AWS Shield Advanced und angewendet werden sollen
<a name="ddos-advanced-summary-deciding"></a>

Sehen Sie sich die Szenarien in diesem Abschnitt an, um zu entscheiden, welche Konten Sie abonnieren AWS Shield Advanced und wo zusätzliche Schutzmaßnahmen angewendet werden sollten. Mit Shield Advanced zahlen Sie eine monatliche Abonnementgebühr für alle Konten, die unter einem konsolidierten Abrechnungskonto erstellt wurden, zuzüglich Nutzungsgebühren, die auf den übertragenen GB an Daten basieren. Informationen zu den Preisen von Shield Advanced finden Sie unter [AWS Shield Advanced Preise](https://aws.amazon.com/shield/pricing/).

Um eine Anwendung und ihre Ressourcen mit Shield Advanced zu schützen, abonnieren Sie Shield Advanced für die Konten, mit denen die Anwendung verwaltet wird, und fügen dann Schutzmaßnahmen zu den Ressourcen der Anwendung hinzu. Informationen zum Abonnieren von Konten und zum Schutz von Ressourcen finden Sie unter. [Einrichten AWS Shield Advanced](getting-started-ddos.md)

**Shield Advanced-Abonnements und AWS WAF Kosten**  
Ihr Shield Advanced-Abonnement deckt die Kosten für die Nutzung von AWS WAF Standardfunktionen für Ressourcen ab, die Sie mit Shield Advanced schützen. Die AWS WAF Standardgebühren, die durch Ihre Shield Advanced-Schutzmaßnahmen abgedeckt werden, sind die Kosten pro Schutzpaket (Web-ACL), die Kosten pro Regel und der Grundpreis pro Million Anfragen für die Prüfung von Webanfragen, bis zu 1.500 WCUs und bis zur Standardgröße.

Wenn Sie die automatische Abwehr auf Anwendungsebene DDo S von Shield Advanced aktivieren, wird Ihrem Schutzpaket (Web-ACL) eine Regelgruppe hinzugefügt, die 150 Web-ACL-Kapazitätseinheiten (WCUs) verwendet. Diese werden auf die WCU-Nutzung in Ihrem Protection Pack (Web-ACL) WCUs angerechnet. Weitere Informationen finden Sie unter [Automatisierung der Risikominderung auf Anwendungsebene DDo S mit Shield Advanced](ddos-automatic-app-layer-response.md), [Schutz der Anwendungsebene mit der Shield Advanced-Regelgruppe](ddos-automatic-app-layer-response-rg.md) und [Web-ACL-Kapazitätseinheiten (WCUs) in AWS WAF](aws-waf-capacity-units.md).

Ihr Abonnement AWS WAF für Shield Advanced deckt nicht die Nutzung von Ressourcen ab, die Sie nicht mit Shield Advanced schützen. Es deckt auch keine zusätzlichen, nicht standardmäßigen AWS WAF Kosten für geschützte Ressourcen ab. Beispiele für nicht standardmäßige AWS WAF Kosten sind die Kosten für Bot-Kontrolle, für CAPTCHA Regelaktionen, für Websites, die mehr als 1.500 ACLs Benutzer verwenden WCUs, und für die Überprüfung des Anfragetexts, der über die Standardgröße hinausgeht. Die vollständige Liste finden Sie auf der Seite mit den AWS WAF Preisen. Ihr Abonnement für Shield Advanced beinhaltet den Zugriff auf die Layer 7 DDo Anti-S Amazon Managed Rule-Gruppe. Im Rahmen Ihres Abonnements erhalten Sie in einem Kalendermonat bis zu 50 Milliarden Anfragen an geschützte Shield AWS WAF Advanced-Ressourcen. Anfragen über 50 Milliarden werden gemäß der AWS Shield Advanced Preisseite in Rechnung gestellt.

Vollständige Informationen und Preisbeispiele finden Sie unter [Shield Pricing](https://aws.amazon.com/shield/pricing/) and [AWS WAF Pricing](https://aws.amazon.com/waf/pricing/).

**Abrechnung des Shield Advanced-Abonnements**  
Wenn Sie ein AWS Channel-Wiederverkäufer sind, wenden Sie sich an Ihr Account-Team, um Informationen und Beratung zu erhalten. Diese Rechnungsinformationen gelten für Kunden, die keine AWS Channel-Wiederverkäufer sind. 

Für alle anderen gelten die folgenden Abonnement- und Abrechnungsrichtlinien:
+ Bei Konten, die Mitglieder einer AWS Organizations Organisation sind, werden die Shield Advanced-Abonnements mit dem Zahlerkonto der Organisation in AWS Rechnung gestellt, unabhängig davon, ob das Zahlerkonto selbst abonniert ist. 
+ Wenn Sie mehrere Konten abonnieren, die sich in derselben [Kontenfamilie mit AWS Organizations konsolidierter Abrechnung](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html) befinden, deckt ein Abonnementpreis alle abonnierten Konten in der Familie ab. Die Organisation muss Eigentümer all ihrer Ressourcen sein. AWS-Konten 
+ Wenn Sie mehrere Konten für mehrere Organisationen abonnieren, können Sie trotzdem eine Abonnementgebühr für alle Organisationen, Konten und Ressourcen zahlen, vorausgesetzt, Sie besitzen alle Konten. Wenden Sie sich an Ihren Kundenbetreuer oder AWS Support und beantragen Sie eine Gebührenbefreiung der AWS Shield Advanced Abonnementgebühren für alle Organisationen außer einer. 

Detaillierte Preisinformationen und Beispiele finden Sie unter [AWS Shield Preisgestaltung](https://aws.amazon.com/shield/pricing/). 

**Identifizierung der zu schützenden Anwendungen**  
Erwägen Sie die Implementierung von Shield Advanced-Schutzmaßnahmen für Anwendungen, für die Sie eine der folgenden Voraussetzungen benötigen: 
+ Garantierte Verfügbarkeit für die Benutzer der Anwendung. 
+ Schneller Zugang zu Experten zur DDo S-Abwehr, falls die Anwendung von einem DDo S-Angriff betroffen ist.
+ Information darüber AWS , dass die Anwendung von einem DDo S-Angriff betroffen sein könnte, und Benachrichtigung Ihrer Sicherheits- oder Betriebsteams über Angriffe AWS und deren Eskalation.
+ Vorhersehbarkeit Ihrer Cloud-Kosten, auch wenn sich ein DDo S-Angriff auf Ihre Nutzung von AWS Diensten auswirkt.

Wenn eine Anwendung oder ihre Ressourcen eines der oben genannten Dinge erfordern, sollten Sie in Erwägung ziehen, Abonnements für die entsprechenden Konten zu erstellen. 

**Identifizieren der zu schützenden Ressourcen**  
Erwägen Sie, für jedes abonnierte Konto jeder Ressource, die eines der folgenden Merkmale aufweist, einen Shield Advanced-Schutz hinzuzufügen:
+ Die Ressource dient externen Benutzern im Internet. 
+ Die Ressource ist im Internet verfügbar und ist auch Teil einer kritischen Anwendung. Berücksichtigen Sie jede gefährdete Ressource, unabhängig davon, ob Sie beabsichtigen, dass Benutzer im Internet auf sie zugreifen. 
+ Die Ressource ist durch eine AWS WAF Web-ACL geschützt.

Weitere Informationen zum Erstellen und Verwalten von Schutzmaßnahmen für Ihre Ressourcen finden Sie unter[Ressourcenschutz in AWS Shield Advanced](ddos-resource-protections.md). 

Folgen Sie außerdem den Empfehlungen in diesem Handbuch, um sicherzustellen, dass Sie Ihre Anwendung für DDo S-Resilienz konzipieren und dass Sie die Funktionen von Shield Advanced für optimalen Schutz ordnungsgemäß konfiguriert haben. 

# Beispiele für DDo S-Angriffe
<a name="types-of-ddos-attacks"></a>

AWS Shield Advanced bietet erweiterten Schutz vor vielen Arten von Angriffen. 

In der folgenden Liste werden einige gängige Angriffsarten beschrieben:



**User Datagram Protocol (UDP) Reflection-Angriff**  
Bei UDP-Reflection-Angriffen kann ein Angreifer die Quelle einer Anfrage fälschen und UDP verwenden, um eine umfangreiche Antwort vom Server auszulösen. Der zusätzliche Netzwerkverkehr, der auf die gefälschte, angegriffene IP-Adresse gerichtet ist, kann den Zielserver verlangsamen und legitime Endbenutzer daran hindern, auf die benötigten Ressourcen zuzugreifen.

**TCP-SYN-Flut**  
Die Absicht eines TCP-SYN-Flood-Angriffs besteht darin, die verfügbaren Ressourcen eines Systems zu erschöpfen, indem Verbindungen in einem halboffenen Zustand belassen werden. Wenn ein Benutzer eine Verbindung zu einem TCP-Dienst wie einem Webserver herstellt, sendet der Client ein TCP-SYN-Paket. Der Server sendet eine Bestätigung und der Client sendet ebenfalls eine eigene Bestätigung – damit ist der "Dreiwege-Handshake" komplett. Bei einer TCP-SYN-Flood wird die dritte Bestätigung nie zurückgegeben, und der Server wartet auf eine Antwort. Dies kann verhindern, dass andere Benutzer eine Verbindung zum Server aufbauen. 

**DNS Query Flood-Angriff**  
Bei einer DNS-Abfrageflut verwendet ein Angreifer mehrere DNS-Abfragen, um die Ressourcen eines DNS-Servers zu erschöpfen. AWS Shield Advanced kann dazu beitragen, Schutz vor DNS-Query-Flood-Angriffen auf Route 53-DNS-Server zu bieten.

**HTTP Flood/Cache-Busting-Angriff (Layer 7)**  
Bei einer HTTP-Flut, einschließlich `GET` und `POST` Floods, sendet ein Angreifer mehrere HTTP-Anfragen, die anscheinend von einem echten Benutzer der Webanwendung stammen. Cache-Busting-Angriffe zählen zu den HTTP Flood-Angriffen. Sie nutzen Abweichungen in der Abfragezeichenfolge der HTTP-Anforderung, damit die Inhalte nicht aus dem Cache eines Edge-Standorts gelesen werden, und erzwingen so den Inhaltsabruf vom ursprünglichen Webserver. Das wiederum sorgt für eine erhöhte und potenziell schädliche Auslastung des ursprünglichen Webservers. 

# Wie AWS Shield erkennt man Ereignisse
<a name="ddos-event-detection"></a>

AWS betreibt Service-Level-Erkennungssysteme für das AWS Netzwerk und einzelne AWS Dienste, um sicherzustellen, dass diese auch während eines DDo S-Angriffs verfügbar bleiben. Darüber hinaus überwachen Erkennungssysteme auf Ressourcenebene jede einzelne AWS Ressource, um sicherzustellen, dass der Datenverkehr zu der Ressource innerhalb der erwarteten Parameter bleibt. Diese Kombination schützt sowohl die AWS Zielressource als auch die AWS Dienste, indem Schutzmaßnahmen angewendet werden, die bekannte schädliche Pakete verwerfen, potenziell bösartigen Datenverkehr hervorheben und den Datenverkehr von Endbenutzern priorisieren.

Entdeckte Ereignisse erscheinen in Ihren Shield Advanced-Ereigniszusammenfassungen, Angriffsdetails und CloudWatch Amazon-Metriken entweder als Name des DDo S-Angriffsvektors oder als `Volumetric` ob die Bewertung auf dem Verkehrsaufkommen statt auf der Signatur basieren würde. Weitere Informationen zu den Dimensionen des Angriffsvektors, die in der `DDoSDetected` CloudWatch Metrik verfügbar sind, finden Sie unter[AWS Shield Advanced Metriken](shield-metrics.md).

**Topics**
+ [AWS Shield Erkennungslogik für Bedrohungen auf Infrastrukturebene (Schicht 3 und Schicht 4)](ddos-event-detection-infrastructure.md)
+ [Shield Advanced Erkennungslogik für Bedrohungen auf Anwendungsebene (Schicht 7)](ddos-event-detection-application.md)
+ [Shield Advanced Erkennungslogik für mehrere Ressourcen in einer Anwendung](ddos-event-detection-multiple-resources.md)

# AWS Shield Erkennungslogik für Bedrohungen auf Infrastrukturebene (Schicht 3 und Schicht 4)
<a name="ddos-event-detection-infrastructure"></a>

Auf dieser Seite wird erklärt, wie die Ereigniserkennung für die Infrastrukturschicht (Netzwerk und Transport) funktioniert.

Die Erkennungslogik, die zum Schutz von AWS Zielressourcen vor DDo S-Angriffen in den Infrastrukturebenen (Schicht 3 und Schicht 4) verwendet wird, hängt vom Ressourcentyp ab und davon, ob die Ressource geschützt ist AWS Shield Advanced. 

**Erkennung für Amazon CloudFront und Amazon Route 53**  
Wenn Sie Ihre Webanwendung mit CloudFront und Route 53 bereitstellen, werden alle Pakete an die Anwendung von einem vollständig integrierten DDo S-Abwehrsystem überprüft, das keine beobachtbare Latenz verursacht. DDoS-Angriffe auf CloudFront Distributionen und auf Route 53 gehostete Zonen werden in Echtzeit abgewehrt. Diese Schutzmaßnahmen gelten unabhängig davon, ob Sie sie verwenden. AWS Shield Advanced

Verwenden CloudFront Sie nach Möglichkeit die bewährte Methode, Route 53 als Einstiegspunkt für Ihre Webanwendung zu verwenden, um DDo S-Ereignisse so schnell wie möglich zu erkennen und zu verhindern.

**Erkennung für AWS Global Accelerator und regionale Dienste**  
Die Erkennung auf Ressourcenebene schützt AWS Global Accelerator Standardbeschleuniger und Ressourcen, die in AWS Regionen gestartet werden, wie Classic Load Balancers, Application Load Balancers und Elastic IP-Adressen (). EIPs Diese Ressourcentypen werden im Hinblick auf Datenverkehrserhöhungen überwacht, die auf das Vorliegen eines DDo S-Angriffs hinweisen könnten, für den eine Abwehr erforderlich ist. Jede Minute wird der Verkehr zu jeder AWS Ressource ausgewertet. Wenn der Verkehr zu einer Ressource erhöht ist, werden zusätzliche Prüfungen durchgeführt, um die Kapazität der Ressource zu messen. 

Shield führt die folgenden Standardprüfungen durch: 
+ **Amazon Elastic Compute Cloud (Amazon EC2) -Instances, EIPs, die an Amazon EC2 EC2-Instances angehängt** sind — Shield ruft Kapazität von der geschützten Ressource ab. Die Kapazität hängt vom Instance-Typ, der Instance-Größe und anderen Faktoren des Ziels ab, z. B. davon, ob die Instance Enhanced Networking verwendet.
+ **Classic Load Balancers und Application Load Balancers** — Shield ruft Kapazität vom Ziel-Load Balancer-Knoten ab.
+ **EIPs an Network Load Balancers angeschlossen** — Shield ruft Kapazität vom Ziel-Load Balancer ab. Die Kapazität ist unabhängig von der Gruppenkonfiguration des Ziel-Load Balancers.
+ **AWS Global Accelerator Standardbeschleuniger** — Shield ruft Kapazität ab, die auf der Endpunktkonfiguration basiert.

Diese Bewertungen beziehen sich auf mehrere Dimensionen des Netzwerkverkehrs, z. B. auf Port und Protokoll. Wenn die Kapazität der Zielressource überschritten wird, platziert Shield eine DDo S-Abwehr. Die von Shield eingeführten Abhilfemaßnahmen werden den DDo S-Verkehr reduzieren, ihn aber möglicherweise nicht beseitigen. Shield kann auch Abhilfemaßnahmen ergreifen, wenn ein Bruchteil der Kapazität der Ressource bei einer Verkehrsdimension überschritten wird, die mit bekannten DDo S-Angriffsvektoren konsistent ist. Shield gewährt dieser Abwehr eine begrenzte Gültigkeitsdauer (TTL), die verlängert wird, solange der Angriff andauert.

**Anmerkung**  
Von Shield vorgenommene Abhilfemaßnahmen reduzieren den DDo S-Verkehr, verhindern ihn aber möglicherweise nicht. Sie können Shield um Lösungen wie AWS Network Firewall oder eine On-Host-Firewall erweitern, iptables um zu verhindern, dass Ihre Anwendung Datenverkehr verarbeitet, der für Ihre Anwendung nicht gültig ist oder nicht von legitimen Endbenutzern generiert wurde.

Die erweiterten Schutzmaßnahmen von Shield erweitern die bestehenden Shield-Erkennungsaktivitäten um Folgendes: 
+ **Niedrigere Erkennungsschwellen** — Shield Advanced legt Schutzmaßnahmen auf die Hälfte der berechneten Kapazität fest. Auf diese Weise können Angriffe, die langsam zunehmen, schneller abgewehrt und Angriffe, die eine mehrdeutigere volumetrische Signatur aufweisen, eingedämmt werden. 
+ **Schutz vor intermittierenden Angriffen** — Shield Advanced platziert Abhilfemaßnahmen mit einer exponentiell steigenden Gültigkeitsdauer (TTL), die auf der Häufigkeit und Dauer der Angriffe basiert. Dadurch bleiben die Abwehrmaßnahmen länger wirksam, wenn eine Ressource häufig angegriffen wird und wenn ein Angriff in kurzen Ausbrüchen erfolgt. 
+ **Integritätsbasierte Erkennung** — Wenn Sie eine Route 53-Zustandsprüfung mit einer geschützten Shield Advanced-Ressource verknüpfen, wird der Status der Integritätsprüfung in der Erkennungslogik verwendet. Wenn bei einem erkannten Ereignis die Integritätsprüfung fehlerfrei ist, muss Shield Advanced erst dann darauf vertrauen, dass es sich bei dem Ereignis um einen Angriff handelt, bevor eine Abwehr eingeleitet wird. Wenn der Gesundheitscheck stattdessen fehlerhaft ist, kann Shield Advanced eine Abhilfemaßnahme vornehmen, noch bevor das Vertrauen hergestellt wurde. Diese Funktion hilft dabei, Fehlalarme zu vermeiden und ermöglicht schnellere Reaktionen auf Angriffe, die Ihre Anwendung betreffen. Informationen zu Integritätsprüfungen mit Shield Advanced finden Sie unter[Gesundheitsbasierte Erkennung mithilfe von Zustandsprüfungen mit Shield Advanced und Route 53](ddos-advanced-health-checks.md).

# Shield Advanced Erkennungslogik für Bedrohungen auf Anwendungsebene (Schicht 7)
<a name="ddos-event-detection-application"></a>

Auf dieser Seite wird erklärt, wie die Ereigniserkennung für die Anwendungsebene funktioniert.

AWS Shield Advanced bietet die Erkennung von Webanwendungsebenen für geschützte CloudFront Amazon-Distributionen und Application Load Balancers. Wenn Sie diese Ressourcentypen mit Shield Advanced schützen, können Sie Ihrem Schutz eine AWS WAF Web-ACL zuordnen, um die Erkennung der Webanwendungsebene zu aktivieren. Shield Advanced verwendet Anforderungsdaten für die zugehörige Web-ACL und erstellt eine Datenverkehrsbasis für Ihre Anwendung. Die Erkennung von Webanwendungsebenen basiert auf der nativen Integration zwischen Shield Advanced und AWS WAF. Weitere Informationen zum Schutz auf Anwendungsebene, einschließlich der Zuordnung einer AWS WAF Web-ACL zu einer geschützten Shield Advanced-Ressource, finden Sie unter. [Schutz der Anwendungsschicht (Schicht 7) mit AWS Shield Advanced und AWS WAF](ddos-app-layer-protections.md) 

Zur Erkennung von Webanwendungsebenen überwacht Shield Advanced den Anwendungsverkehr und vergleicht ihn mit historischen Ausgangsdaten, um nach Anomalien zu suchen. Diese Überwachung deckt das Gesamtvolumen und die Zusammensetzung des Datenverkehrs ab. Während eines DDo S-Angriffs erwarten wir, dass sich sowohl das Volumen als auch die Zusammensetzung des Datenverkehrs ändern werden, und Shield Advanced benötigt bei beiden eine statistisch signifikante Abweichung, um ein Ereignis zu deklarieren. 

Shield Advanced führt seine Messungen anhand historischer Zeitfenster durch. Dieser Ansatz reduziert Fehlmeldungen aufgrund legitimer Änderungen des Verkehrsaufkommens oder aufgrund von Änderungen des Datenverkehrs, die einem erwarteten Muster entsprechen, z. B. bei einem Verkauf, der jeden Tag zur gleichen Uhrzeit angeboten wird. 

**Anmerkung**  
Vermeiden Sie Fehlalarme in Ihren Shield Advanced-Schutzmaßnahmen, indem Sie Shield Advanced Zeit geben, Baselines zu erstellen, die normale, legitime Datenverkehrsmuster darstellen. Shield Advanced beginnt mit der Erfassung von Informationen für seine Baseline, wenn Sie Ihrer geschützten Ressource eine Web-ACL zuordnen. Ordnen Sie Ihrer geschützten Ressource mindestens 24 Stunden vor einem geplanten Ereignis, das zu ungewöhnlichen Mustern im Webverkehr führen könnte, eine Web-ACL zu. Die Erkennung auf Webanwendungsebene von Shield Advanced ist am genauesten, wenn 30 Tage normalen Datenverkehrs beobachtet wurden.

Die Zeit, die Shield Advanced benötigt, um ein Ereignis zu erkennen, hängt davon ab, wie stark sich das Verkehrsaufkommen ändert. Bei Änderungen mit geringerem Volumen beobachtet Shield Advanced den Verkehr über einen längeren Zeitraum, um die Gewissheit zu stärken, dass ein Ereignis eintritt. Bei Änderungen mit höherer Lautstärke erkennt Shield Advanced ein Ereignis schneller und meldet es schneller. 

Eine ratenbasierte Regel in Ihrer Web-ACL, unabhängig davon, ob sie von Ihnen oder durch die automatische Abwehr auf Anwendungsebene von Shield Advanced hinzugefügt wurde, kann einen Angriff abwehren, bevor er ein erkennbares Ausmaß erreicht. Weitere Informationen zur automatischen Risikominderung auf Anwendungsebene DDo S finden Sie unter. [Automatisierung der Risikominderung auf Anwendungsebene DDo S mit Shield Advanced](ddos-automatic-app-layer-response.md)

**Anmerkung**  
Sie können Ihre Anwendung so einrichten, dass sie bei erhöhtem Traffic oder hoher Auslastung skaliert wird, um sicherzustellen, dass sie nicht durch kleinere Anforderungsfluten beeinträchtigt wird. Mit Shield Advanced sind Ihre geschützten Ressourcen durch einen Kostenschutz abgedeckt. Dies schützt Sie vor unerwarteten Erhöhungen Ihrer Cloud-Rechnung, die als Folge eines DDo S-Angriffs auftreten könnten. Weitere Informationen zum Kostenschutz von Shield Advanced finden Sie unter[AWS Shield Advanced Nach einem Angriff eine Gutschrift beantragen](ddos-request-service-credit.md).

# Shield Advanced Erkennungslogik für mehrere Ressourcen in einer Anwendung
<a name="ddos-event-detection-multiple-resources"></a>

Auf dieser Seite wird erklärt, wie die Ereigniserkennung für mehrere Ressourcen in einer Anwendung funktioniert. 

Sie können AWS Shield Advanced Schutzgruppen verwenden, um Sammlungen geschützter Ressourcen zu erstellen, die Teil derselben Anwendung sind. Sie können wählen, welche geschützten Ressourcen in einer Gruppe platziert werden sollen, oder angeben, dass alle Ressourcen desselben Typs als eine Gruppe behandelt werden sollen. Sie können beispielsweise eine Gruppe mit allen Application Load Balancers erstellen. Wenn Sie eine Schutzgruppe erstellen, aggregiert Shield Advanced Detection den gesamten Datenverkehr für die geschützten Ressourcen innerhalb der Gruppe. Dies ist nützlich, wenn Sie über viele Ressourcen verfügen, von denen jede eine geringe Menge an Datenverkehr, aber ein großes aggregiertes Volumen aufweist. Sie können Schutzgruppen auch verwenden, um Anwendungsbasislinien beizubehalten, was bei blaugrünen Bereitstellungen der Fall ist, bei denen der Datenverkehr zwischen geschützten Ressourcen übertragen wird. 

Sie können den Datenverkehr in Ihrer Schutzgruppe auf eine der folgenden Arten aggregieren: 
+ **Summe** — Diese Aggregation kombiniert den gesamten Datenverkehr zwischen den Ressourcen in der Schutzgruppe. Sie können diese Aggregation verwenden, um sicherzustellen, dass neu erstellte Ressourcen über eine bestehende Basislinie verfügen, und um die Erkennungsempfindlichkeit zu verringern, wodurch Fehlalarme vermieden werden können.
+ **Mittelwert** — Bei dieser Aggregation wird der Durchschnitt des gesamten Datenverkehrs innerhalb der Schutzgruppe verwendet. Sie können diese Aggregation für Anwendungen verwenden, bei denen der Datenverkehr zwischen Ressourcen einheitlich ist, z. B. für Load Balancer.
+ **Max** — Diese Aggregation verwendet den höchsten Traffic aller Ressourcen in der Schutzgruppe. Sie können diese Aggregation verwenden, wenn mehrere Ebenen einer Anwendung in einer Schutzgruppe vorhanden sind. Beispielsweise haben Sie möglicherweise eine Schutzgruppe, die eine CloudFront Distribution, ihren Application Load Balancer Balancer-Ursprung und die Amazon EC2 EC2-Instance-Ziele des Application Load Balancers umfasst.

Sie können Schutzgruppen auch verwenden, um die Geschwindigkeit zu erhöhen, mit der Shield Advanced Abhilfemaßnahmen für Angriffe einsetzt, die auf mehrere mit dem Internet verbundene Elastic IPs - oder AWS Global Accelerator Standardbeschleuniger abzielen. Wenn eine Ressource in einer Schutzgruppe ins Visier genommen wird, stellt Shield Advanced Vertrauen für die anderen Ressourcen in der Gruppe her. Dadurch wird die Erkennung von Shield Advanced in einen Alarmzustand versetzt und der Zeitaufwand für die Erstellung zusätzlicher Schutzmaßnahmen kann reduziert werden.

Weitere Informationen zu Schutzgruppen finden Sie unter[Gruppieren Sie Ihre Schutzmaßnahmen AWS Shield Advanced](ddos-protection-groups.md).

# Wie AWS Shield mindert man Ereignisse
<a name="ddos-event-mitigation"></a>

Auf dieser Seite wird vorgestellt, wie die Abwehr von AWS Shield Ereignissen funktioniert. 

Die Abhilflogik, die Ihre Anwendung schützt, kann je nach Ihrer Anwendungsarchitektur variieren. Wenn Sie eine Webanwendung mit Amazon CloudFront und Amazon Route 53 schützen, profitieren Sie von Schutzmaßnahmen, die speziell auf Web- und DNS-Anwendungsfälle zugeschnitten sind und den gesamten Datenverkehr für die Services schützen. Wenn der Einstiegspunkt Ihrer Anwendung eine Ressource ist, die in einer AWS Region ausgeführt wird, variiert die Risikominderungslogik je nach Service, Ressourcentyp und Nutzung von. AWS Shield Advanced

AWS DDoS-Minderungssysteme werden von Shield-Technikern entwickelt und sind eng in die AWS Services integriert. Die Techniker berücksichtigen Aspekte Ihrer Architektur wie die Kapazität und den Zustand der Zielressourcen. Die Techniker von Shield überwachen kontinuierlich die Wirksamkeit und Leistung der DDo S-Abwehrsysteme und sind in der Lage, schnell zu reagieren, wenn neue Bedrohungen entdeckt oder erwartet werden. 

Sie können Ihre Anwendung so gestalten, dass sie bei erhöhtem Datenverkehr oder hoher Auslastung skaliert wird, um sicherzustellen, dass sie nicht durch kleinere Anforderungsfluten beeinträchtigt wird. Wenn Sie Shield Advanced zum Schutz Ihrer Ressourcen verwenden, sind Sie gegen unerwartete Erhöhungen Ihrer Cloud-Rechnung abgesichert, die als Folge eines DDo S-Angriffs auftreten könnten. 

**Maßnahmen zur Minderung der Infrastruktur**  
Bei Angriffen auf die Infrastrukturebene sind AWS Shield DDo S-Abwehrsysteme an der AWS Netzwerkgrenze und an AWS Edge-Standorten vorhanden. Die Platzierung mehrerer Ebenen von Sicherheitskontrollen in der gesamten AWS Infrastruktur sorgt für defense-in-depth Ihre Cloud-Anwendungen. 

Shield unterhält DDo S-Abwehrsysteme an allen Zugangspunkten aus dem Internet. Wenn Shield einen DDo S-Angriff erkennt, leitet es den Datenverkehr für jeden Eintrittspunkt durch die DDo S-Abwehrsysteme am selben Standort um. Dies führt zu keiner beobachtbaren zusätzlichen Latenz und bietet eine Abwehrkapazität von mehr als 100 TeraBits pro Sekunde (Tbps) in allen Regionen und allen Edge-Standorten. AWS Shield schützt Ihre Ressourcenverfügbarkeit, ohne den Datenverkehr an externe oder entfernte Scrubbing-Center umzuleiten, was die Latenz erhöhen könnte. 
+ An der AWS Netzwerkgrenze verhindern DDo S-Abwehrsysteme für jeden AWS Dienst oder jede Ressource Angriffe auf Infrastrukturebene, die aus dem Internet kommen. Die Systeme führen ihre Abhilfemaßnahmen durch, wenn sie von Shield Detection oder von einem Techniker des Shield Response Teams (SRT) gemeldet werden. 
+ An AWS Edge-Standorten überprüfen DDo S-Abwehrsysteme kontinuierlich jedes Paket, das an CloudFront Amazon-Distributionen und Amazon Route 53-Hosting-Zonen weitergeleitet wird, unabhängig von ihrer Herkunft. Bei Bedarf wenden die Systeme Schutzmaßnahmen an, die speziell für den Web- und DNS-Verkehr entwickelt wurden. Ein zusätzlicher Vorteil der Verwendung von Amazon CloudFront und Amazon Route 53 zum Schutz Ihrer Webanwendungen besteht darin, dass DDo S-Angriffe sofort abgewehrt werden, ohne dass ein Signal von der Shield-Erkennung erforderlich ist. 

**Abwehr auf Anwendungsebene**  
Shield Advanced bietet Schutzmaßnahmen auf Webanwendungsebene für die CloudFront Amazon-Distributionen und Application Load Balancer, für die Sie den erweiterten Schutz von Shield aktiviert haben. Wenn Sie den Schutz aktivieren, ordnen Sie der Ressource eine AWS WAF Web-ACL zu, um die Erkennung auf Webanwendungsebene zu aktivieren. Darüber hinaus haben Sie die Möglichkeit, die automatische Abwehr auf Anwendungsebene zu aktivieren, wodurch Shield Advanced angewiesen wird, den Schutz während eines DDo S-Angriffs für Sie zu verwalten. 

Shield bietet nur benutzerdefinierte Abwehrmaßnahmen für Angriffe auf Anwendungsebene auf Ressourcen, für die Sie Shield Advanced aktiviert haben, und automatische Abwehr auf Anwendungsebene. Mit automatischer Abwehr erzwingt Shield Advanced eine AWS WAF Ratenbegrenzung für Anfragen aus bekannten DDo S-Quellen und fügt als Reaktion auf erkannte DDo S-Angriffe automatisch benutzerdefinierte AWS WAF Schutzmaßnahmen hinzu und verwaltet diese. Ausführliche Informationen zu Abhilfemaßnahmen dieser Art finden Sie unter. [So verwaltet Shield Advanced die automatische Schadensbegrenzung](ddos-automatic-app-layer-response-behavior.md) 

Eine ratenbasierte Regel in Ihrer Web-ACL, unabhängig davon, ob sie von Ihnen oder durch die automatische Abwehr auf Anwendungsebene von Shield Advanced hinzugefügt wurde, kann einen Angriff abwehren, bevor er ein erkennbares Ausmaß erreicht. Weitere Informationen zur Erkennung finden Sie unter. [Shield Advanced Erkennungslogik für Bedrohungen auf Anwendungsebene (Schicht 7)](ddos-event-detection-application.md)

**Topics**
+ [Liste der AWS Shield DDo S-Abwehrfunktionen](ddos-event-mitigation-features.md)
+ [AWS Shield Mitigationslogik für CloudFront und Route 53](ddos-event-mitigation-logic-continuous-inspection.md)
+ [AWS Shield Minderungslogik für Regionen AWS](ddos-event-mitigation-logic-regions.md)
+ [AWS Shield Risikominderungslogik für AWS Global Accelerator Standardbeschleuniger](ddos-event-mitigation-logic-gax.md)
+ [AWS Shield Advanced Schadensbegrenzungslogik für Elastic IPs](ddos-event-mitigation-logic-adv-eip.md)
+ [AWS Shield Advanced Schadensbegrenzungslogik für Webanwendungen](ddos-event-mitigation-logic-adv-web-app.md)

# Liste der AWS Shield DDo S-Abwehrfunktionen
<a name="ddos-event-mitigation-features"></a>

Die Hauptmerkmale von AWS Shield DDo S Mitigation sind die folgenden:
+ **Paketvalidierung** — Dadurch wird sichergestellt, dass jedes geprüfte Paket einer erwarteten Struktur entspricht und für sein Protokoll gültig ist. Zu den unterstützten Protokollvalidierungen gehören IP, TCP (einschließlich Header und Optionen), UDP, ICMP, DNS und NTP.
+ **Zugriffskontrolllisten (ACLs) und Shaper** — Eine ACL bewertet den Datenverkehr anhand bestimmter Attribute und verwirft den entsprechenden Datenverkehr entweder oder ordnet ihn einem Shaper zu. Der Shaper begrenzt die Paketrate für den entsprechenden Datenverkehr und verwirft überschüssige Pakete, um das Volumen einzudämmen, das das Ziel erreicht. AWS Shield Die Techniker des Detection and Shield Response Teams (SRT) können spezielle Ratenzuweisungen für den erwarteten Verkehr und restriktivere Ratenzuweisungen für den Verkehr mit Attributen bereitstellen, die bekannten DDo S-Angriffsvektoren entsprechen. Zu den Attributen, denen eine ACL entsprechen kann, gehören der Port, das Protokoll, die TCP-Flags, die Zieladresse, das Quellland und beliebige Muster in der Paketnutzlast. 
+ Bewertung von **Verdachtsfällen** — Dabei wird das Wissen, das Shield über den erwarteten Datenverkehr hat, genutzt, um jedem Paket eine Bewertung zuzuweisen. Paketen, die sich eher an Muster für zweifelsfrei funktionierenden Verkehr halten, wird eine niedrigere Verdachtsbewertung zugewiesen. Die Beobachtung von bekannten schlechten Datenverkehrsattributen kann die Verdachtsquote für ein Paket erhöhen. Wenn es notwendig ist, Pakete mit einer Ratenbegrenzung zu begrenzen, verwirft Shield zuerst Pakete mit höheren Verdachtswerten. Auf diese Weise kann Shield sowohl bekannte als auch Zero-Day-S-Angriffe abwehren und gleichzeitig DDo Fehlalarme vermeiden.
+ **TCP-SYN-Proxy** — Dieser bietet Schutz vor TCP-SYN-Floods, indem TCP-SYN-Cookies gesendet werden, um neue Verbindungen herauszufordern, bevor sie an den geschützten Dienst weitergeleitet werden. Der von Shield DDo S Mitigation bereitgestellte TCP-SYN-Proxy ist zustandslos, was es ihm ermöglicht, die größten bekannten TCP-SYN-Flood-Angriffe abzuwehren, ohne dass eine State-Erschöpfung erreicht wird. Dies wird erreicht, indem AWS Dienste integriert werden, um den Verbindungsstatus zu übergeben, anstatt einen kontinuierlichen Proxy zwischen dem Client und dem geschützten Dienst aufrechtzuerhalten. Der TCP-SYN-Proxy ist derzeit auf Amazon CloudFront und Amazon Route 53 verfügbar. 
+ **Ratenverteilung** — Dadurch werden die Shaper-Werte pro Standort kontinuierlich an das Eingangsmuster des Datenverkehrs zu einer geschützten Ressource angepasst. Dadurch wird verhindert, dass der Kundendatenverkehr, der möglicherweise nicht gleichmäßig in das Netzwerk gelangt, begrenzt wird. AWS 

# AWS Shield Mitigationslogik für CloudFront und Route 53
<a name="ddos-event-mitigation-logic-continuous-inspection"></a>

Auf dieser Seite wird erklärt, wie Shield DDo S Mitigation kontinuierlich den Verkehr für CloudFront und Route 53 überprüft. Diese Dienste werden von einem weltweit verteilten Netzwerk von AWS Edge-Standorten aus betrieben, die Ihnen umfassenden Zugriff auf die DDo S-Abwehrkapazität von Shield bieten und Ihre Anwendungen von einer Infrastruktur aus bereitstellen, die sich näher an Ihren Endbenutzern befindet. 

**Wichtig**  
AWS Shield Advanced unterstützt keine CloudFront Mieter.
+ **CloudFront**— Durch Shield DDo S-Abhilfemaßnahmen kann nur Datenverkehr, der für Webanwendungen gültig ist, an den Dienst weitergeleitet werden. Dies bietet automatischen Schutz vor vielen gängigen DDo S-Vektoren, wie z. B. UDP-Reflection-Angriffen. 

  CloudFront unterhält persistente Verbindungen zu Ihrem Anwendungsursprung, TCP-SYN-Floods werden durch die Integration mit der Shield-TCP-SYN-Proxyfunktion automatisch abgemildert und Transport Layer Security (TLS) wird am Edge beendet. Diese kombinierten Funktionen stellen sicher, dass Ihr Anwendungsursprung nur wohlgeformte Webanfragen empfängt und dass er vor DDo S-Angriffen der unteren Schicht, Verbindungsfluten und TLS-Missbrauch geschützt ist.

  CloudFront verwendet eine Kombination aus DNS-Verkehrsrichtung und Anycast-Routing. Diese Techniken verbessern die Widerstandsfähigkeit Ihrer Anwendung, indem sie Angriffe direkt an der Quelle abwehren, Fehler isolieren und den Zugriff auf Kapazitäten sicherstellen, um die größten bekannten Angriffe abzuwehren. 
+ **Route 53** — Shield-Schutzmaßnahmen ermöglichen es nur gültigen DNS-Anfragen, den Dienst zu erreichen. Shield verhindert DNS-Abfragefluten mithilfe einer Verdachtsbewertung, bei der bekanntermaßen funktionierende Abfragen priorisiert und Abfragen, die verdächtige oder bekannte S-Angriffsattribute enthalten, depriorisiert werden. DDo 

  Route 53 verwendet Shuffle-Sharding, um jeder Hosting-Zone einen eindeutigen Satz von vier Resolver-IP-Adressen zur Verfügung zu stellen, sowohl für als auch. IPv4 IPv6 Jede IP-Adresse entspricht einer anderen Teilmenge von Route 53-Standorten. Jede Standortuntergruppe besteht aus autorisierenden DNS-Servern, die sich nur teilweise mit der Infrastruktur einer anderen Teilmenge überschneiden. Dadurch wird sichergestellt, dass eine Benutzerabfrage, falls sie aus irgendeinem Grund fehlschlägt, bei einem erneuten Versuch erfolgreich bearbeitet wird.

  Route 53 verwendet Anycast-Routing, um DNS-Abfragen je nach Netzwerknähe an den nächstgelegenen Edge-Standort weiterzuleiten. Anycast fächert den DDo S-Verkehr auch an viele Edge-Standorte weiter, wodurch verhindert wird, dass sich Angriffe auf einen einzigen Standort konzentrieren. 

Zusätzlich zur Geschwindigkeit der Schadensbegrenzung bieten Route 53 einen breiten Zugang zu den weltweit verteilten Kapazitäten von Shield. CloudFront Um diese Funktionen zu nutzen, nutzen Sie diese Dienste als Einstiegspunkt für Ihre dynamischen oder statischen Webanwendungen. 

Weitere Informationen zur Verwendung von CloudFront und Route 53 zum Schutz von Webanwendungen finden Sie unter [So schützen Sie dynamische Webanwendungen vor DDo S-Angriffen mithilfe von Amazon CloudFront und Amazon Route 53.](https://aws.amazon.com/blogs/security/how-to-protect-dynamic-web-applications-against-ddos-attacks-by-using-amazon-cloudfront-and-amazon-route-53/) Weitere Informationen zur Fehlerisolierung auf Route 53 finden Sie unter [Eine Fallstudie zur globalen Fehlerisolierung](https://aws.amazon.com/blogs/architecture/a-case-study-in-global-fault-isolation/).

# AWS Shield Minderungslogik für Regionen AWS
<a name="ddos-event-mitigation-logic-regions"></a>

Auf dieser Seite wird erklärt, wie die Shield-Ereignisabwehrlogik in AWS Regionen funktioniert.

Ressourcen, die in AWS Regionen eingesetzt werden, werden durch AWS Shield DDo S-Minderungssysteme geschützt, die von Shield auf Ressourcenebene erkannt werden. Zu den regionalen Ressourcen gehören Elastic IPs (EIPs), Classic Load Balancers und Application Load Balancers.

Vor der Einführung einer Risikominderung identifiziert Shield die Zielressource und ihre Kapazität. Shield verwendet die Kapazität, um den maximalen Gesamtverkehr zu bestimmen, den seine Abhilfemaßnahmen für die Weiterleitung an die Ressource zulassen sollten. Zugriffskontrolllisten (ACLs) und andere Shaper innerhalb der Abwehr können das zulässige Volumen für bestimmten Datenverkehr verringern, z. B. für Datenverkehr, der bekannten DDo S-Angriffsvektoren entspricht oder von dem nicht erwartet wird, dass er in großem Umfang übertragen wird. Dadurch wird der Umfang des Datenverkehrs, den die Abhilfemaßnahmen für UDP-Reflection-Angriffe oder für TCP-Verkehr mit TCP-SYN- oder FIN-Flags zulassen, weiter begrenzt.

Shield bestimmt die Kapazität und platziert die Abhilfemaßnahmen für jeden Ressourcentyp unterschiedlich. 
+ Für eine Amazon EC2 EC2-Instance oder eine EIP, die an eine Amazon EC2 EC2-Instance angehängt ist, berechnet Shield die Kapazität auf der Grundlage des Instance-Typs und anderer Instance-Attribute, z. B. ob für die Instance Enhanced Networking aktiviert ist. 
+ Für einen Application Load Balancer oder Classic Load Balancer berechnet Shield die Kapazität individuell für jeden Zielknoten des Load Balancers. DDoS-Angriffsabwehr für diese Ressourcen wird durch eine Kombination aus Shield DDo S-Abwehr und automatischer Skalierung durch den Load Balancer bereitgestellt. Wenn das Shield Response Team (SRT) an einem Angriff gegen eine Application Load Balancer- oder Classic Load Balancer Balancer-Ressource beteiligt ist, kann es die Skalierung als zusätzliche Schutzmaßnahme beschleunigen. 
+ Shield berechnet die Kapazität für einige AWS Ressourcen auf der Grundlage der verfügbaren Kapazität der zugrunde liegenden AWS Infrastruktur. Zu diesen Ressourcentypen gehören Network Load Balancer (NLBs) und Ressourcen, die den Verkehr über Gateway Load Balancer weiterleiten oder. AWS Network Firewall

**Anmerkung**  
Schützen Sie Ihre Network Load Balancer, indem Sie sie anhängen EIPs , die durch Shield Advanced geschützt sind. Sie können mit SRT zusammenarbeiten, um benutzerdefinierte Abhilfemaßnahmen zu erstellen, die auf dem erwarteten Datenverkehr und der Kapazität der zugrunde liegenden Anwendung basieren. 

Wenn Shield eine Risikominderung einführt, werden die anfänglichen Ratenbegrenzungen, die Shield in der Risikominderungslogik definiert, gleichermaßen auf jedes Shield DDo S-Minderungssystem angewendet. Wenn Shield beispielsweise eine Risikominderung mit einem Limit von 100.000 Paketen pro Sekunde (pps) festlegt, werden zunächst 100.000 pps an jedem Standort zugelassen. Anschließend aggregiert Shield kontinuierlich Messwerte zur Risikominderung, um den tatsächlichen Verkehrsanteil zu ermitteln, und verwendet dieses Verhältnis, um das Ratenlimit für jeden Standort anzupassen. Auf diese Weise werden Fehlalarme verhindert und sichergestellt, dass die Maßnahmen nicht zu großzügig sind. 

# AWS Shield Risikominderungslogik für AWS Global Accelerator Standardbeschleuniger
<a name="ddos-event-mitigation-logic-gax"></a>

Auf dieser Seite wird erklärt, wie die Shield-Ereignisabwehrlogik für AWS Global Accelerator Standardbeschleuniger funktioniert. Durch Shield-Schutzmaßnahmen kann nur gültiger Datenverkehr die Listener-Endpunkte eines Global Accelerator-Standardbeschleunigers erreichen.

Standardbeschleuniger werden weltweit eingesetzt und stellen Ihnen IP-Adressen zur Verfügung, mit denen Sie den Datenverkehr an AWS Ressourcen in jeder Region weiterleiten können. AWS Die Ratenbegrenzungen, die Shield für eine Global-Accelerator-Minderung durchsetzt, basieren auf den Kapazitäten der Ressourcen, zu denen der Standard-Accelerator den Verkehr weiterleitet. Shield setzt Abhilfemaßnahmen ein, wenn der Gesamtverkehr die festgelegte Rate überschreitet, und auch, wenn ein Bruchteil dieser Rate für bekannte DDo S-Vektoren überschritten wird. 

Wenn Sie einen Standard-Accelerator konfigurieren, definieren Sie Endpunktgruppen für jede AWS Region, in die Sie den Datenverkehr für Ihre Anwendung weiterleiten. Wenn Shield eine Risikominderung platziert, berechnet es die Kapazität jeder Endpunktgruppe und aktualisiert die Ratenlimits für jedes Shield DDo S-Minderungssystem entsprechend. Die Rate variiert je nach Standort und basiert auf Annahmen von Shield darüber, wie der Verkehr vom Internet zu Ihren AWS Ressourcen geleitet wird. Die Kapazität für eine Endpunktgruppe wird berechnet als die Anzahl der Ressourcen in der Gruppe multipliziert mit der niedrigsten Kapazität für jede Ressource in der Gruppe. In regelmäßigen Abständen berechnet Shield die Kapazität für Ihre Anwendung neu und aktualisiert die Ratenlimits nach Bedarf. 

**Anmerkung**  
Die Verwendung von Verkehrswahlen zur Änderung des Prozentsatzes des Datenverkehrs, der an eine Endpunktgruppe geleitet wird, ändert nichts daran, wie Shield die Ratenlimits berechnet oder an seine DDo S-Abwehrsysteme verteilt. Wenn Sie Traffic Dials verwenden, konfigurieren Sie Ihre Endpunktgruppen so, dass sie sich in Bezug auf Ressourcentyp und -menge gegenseitig spiegeln. Dadurch wird sichergestellt, dass die von Shield berechnete Kapazität repräsentativ für die Ressourcen ist, die den Datenverkehr für Ihre Anwendung bereitstellen.

Weitere Informationen zu Endpunktgruppen und Verkehrswahlen in Global Accelerator finden Sie unter [Endpunktgruppen in AWS Global Accelerator Standard-Beschleunigern](https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoint-groups.html).

# AWS Shield Advanced Schadensbegrenzungslogik für Elastic IPs
<a name="ddos-event-mitigation-logic-adv-eip"></a>

Auf dieser Seite wird erklärt, wie die Shield-Ereignisabwehrlogik für Elastic IPs mit AWS Shield Advanced funktioniert. Wenn Sie eine Elastic IP (EIP) mit schützen AWS Shield Advanced, verbessert Shield Advanced die Schutzmaßnahmen, die Shield während eines DDo S-Ereignisses einleitet.

Shield Advanced DDo S-Abwehrsysteme replizieren die Network ACL (NACL) -Konfiguration für das öffentliche Subnetz, dem die EIP zugeordnet ist. Wenn Ihre NACL beispielsweise so konfiguriert ist, dass sie den gesamten UDP-Verkehr blockiert, führt Shield Advanced diese Regel mit den von Shield festgelegten Abhilfemaßnahmen zusammen. 

Diese zusätzliche Funktionalität kann Ihnen helfen, Verfügbarkeitsrisiken aufgrund von Datenverkehr zu vermeiden, der für Ihre Anwendung nicht gültig ist. Sie können sie auch verwenden NACLs , um einzelne Quell-IP-Adressen oder CIDR-Bereiche für Quell-IP-Adressen zu blockieren. Dies kann ein nützliches Tool zur Abwehr von DDo S-Angriffen sein, die nicht verteilt werden. Außerdem können Sie damit ganz einfach Ihre eigenen Zulassungslisten verwalten oder IP-Adressen blockieren, die nicht mit Ihrer Anwendung kommunizieren sollen, ohne auf das Eingreifen von AWS Technikern angewiesen zu sein.

# AWS Shield Advanced Schadensbegrenzungslogik für Webanwendungen
<a name="ddos-event-mitigation-logic-adv-web-app"></a>

AWS Shield Advanced wird verwendet AWS WAF , um Angriffe auf Webanwendungsebene abzuwehren. AWS WAF ist in Shield Advanced ohne zusätzliche Kosten enthalten. 

**Standardschutz auf Anwendungsebene**  
Wenn Sie eine CloudFront Amazon-Distribution oder einen Application Load Balancer mit Shield Advanced schützen, können Sie Shield Advanced verwenden, um Ihrer geschützten Ressource eine AWS WAF Web-ACL zuzuordnen, sofern Ihnen noch keine zugeordnet ist. Wenn Sie noch keine Web-ACL konfiguriert haben, können Sie mit dem Shield Advanced-Konsolenassistenten eine erstellen und ihr eine ratenbasierte Regel hinzufügen. Eine ratenbasierte Regel begrenzt die Anzahl der Anfragen pro Fünf-Minuten-Zeitfenster für jede IP-Adresse und bietet so grundlegenden Schutz vor einer Flut von Anfragen auf Webanwendungsebene. Sie können die Rate so konfigurieren, dass sie bei 10 beginnt. Weitere Informationen finden Sie unter [Schutz der Anwendungsebene mit AWS WAF Web ACLs und Shield Advanced](ddos-app-layer-web-ACL-and-rbr.md).

Sie können den AWS WAF Dienst auch zur Verwaltung der Web-ACL verwenden. Auf diese Weise können Sie die Web-ACL-Konfiguration erweitern AWS WAF, um beispielsweise bestimmte Webanforderungskomponenten auf Übereinstimmungen oder Muster zu überprüfen, benutzerdefinierte Anfragen- und Antwortbehandlungen hinzuzufügen und Abgleiche mit der Geolokalisierung des Absenders der Anfrage durchzuführen. Weitere Informationen zu AWS WAF Regeln finden Sie unter. [AWS WAF Regeln](waf-rules.md) 

**Automatische Schadensbegrenzung auf Anwendungsebene**  
Um den Schutz zu verbessern, aktivieren Sie die automatische Abwehr auf Anwendungsebene mit Shield Advanced. Mit dieser Option behält Shield Advanced eine Regel zur AWS WAF Geschwindigkeitsbegrenzung für Anfragen von bekannten DDo S-Quellen bei und bietet benutzerdefinierte Abhilfemaßnahmen für erkannte DDo S-Angriffe. 

Wenn Shield Advanced einen Angriff auf eine geschützte Ressource erkennt, versucht es, eine Angriffssignatur zu identifizieren, die den Angriffsverkehr vom normalen Verkehr zu Ihrer Anwendung isoliert. Shield Advanced bewertet die identifizierte Angriffssignatur anhand der historischen Verkehrsmuster für die angegriffene Ressource sowie für jede andere Ressource, die derselben Web-ACL zugeordnet ist.

Wenn Shield Advanced feststellt, dass die Angriffssignatur nur den Datenverkehr isoliert, der am DDo S-Angriff beteiligt ist, implementiert es die Signatur in AWS WAF Regeln innerhalb der zugehörigen Web-ACL. Sie können Shield Advanced anweisen, Abhilfemaßnahmen zu platzieren, die nur den Datenverkehr zählen, mit dem sie übereinstimmen, oder ihn blockieren, und Sie können die Einstellung jederzeit ändern. Wenn Shield Advanced feststellt, dass seine Schadensbegrenzungsregeln nicht mehr benötigt werden, werden sie aus der Web-ACL entfernt. Weitere Informationen zur Abwehr von Ereignissen auf Anwendungsebene finden Sie unter. [Automatisierung der Risikominderung auf Anwendungsebene DDo S mit Shield Advanced](ddos-automatic-app-layer-response.md) 

Weitere Informationen zu Schutzmaßnahmen auf Anwendungsebene von Shield Advanced finden Sie unter[Schutz der Anwendungsschicht (Schicht 7) mit AWS Shield Advanced und AWS WAF](ddos-app-layer-protections.md).