Características de mitigación - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Características de mitigación

Las principales características de la mitigación de AWS Shield DDoS son las siguientes:

  • Validación de paquetes: esto garantiza que cada paquete inspeccionado se ajuste a la estructura esperada y sea válido para su protocolo. Las validaciones de protocolo compatibles incluyen IP, TCP (incluidos el encabezado y las opciones), UDP, ICMP, DNS y NTP.

  • Listas de control de acceso (ACL) y modeladores: una ACL evalúa el tráfico en función de atributos específicos y descarta el tráfico coincidente o lo asigna a un modelador. El modelador limita la velocidad de paquetes para el tráfico coincidente y elimina el exceso de paquetes para contener el volumen que llega al destino. AWS Shield Los ingenieros de detección y Shield Response Team (SRT) pueden asignar tarifas específicas al tráfico esperado y asignar tarifas más restrictivas al tráfico con atributos que coincidan con los vectores de ataque DDoS conocidos. Los atributos que puede igualar una ACL incluyen el puerto, el protocolo, los indicadores TCP, la dirección de destino, el país de origen y los patrones arbitrarios de la carga útil del paquete.

  • Puntuación de sospecha: utiliza el conocimiento que Shield tiene sobre el tráfico esperado para aplicar una puntuación a cada paquete. A los paquetes que se ajustan más a los patrones de tráfico conocidos como seguros se les asigna una puntuación de sospecha más baja. La observación de los atributos de tráfico conocidos como maliciosos puede aumentar la puntuación de sospecha de un paquete. Cuando es necesario limitar la tasa de los paquetes, Shield descarta primero los paquetes con puntuaciones de sospecha más altas. Esto ayuda a Shield a mitigar los ataques DDoS conocidos y de día cero y, al mismo tiempo, evitar los falsos positivos.

  • Proxy TCP SYN: proporciona protección contra las inundaciones de TCP SYN al enviar cookies TCP SYN para desafiar las nuevas conexiones antes de permitir que pasen al servicio protegido. El proxy TCP SYN que proporciona Shield DDoS Mitigation no tiene estado, lo que le permite mitigar los mayores ataques de inundación TCP SYN conocidos sin agotar el estado. Esto se logra mediante la integración con AWS los servicios para transferir el estado de la conexión en lugar de mantener un proxy continuo entre el cliente y el servicio protegido. El proxy TCP SYN está disponible actualmente en Amazon CloudFront y Amazon Route 53.

  • Distribución de tasa: ajusta continuamente los valores del modelador por ubicación según el patrón de entrada del tráfico hacia un recurso protegido. Esto evita limitar la velocidad del tráfico de clientes que podrían no ingresar a la AWS red de manera uniforme.