Lógica de mitigación AWS Shield para CloudFront y Route 53

En esta página se explica como la mitigación de DDoS de Shield inspecciona de manera continua el tráfico de CloudFront y Route 53. Estos servicios operan desde una red distribuida globalmente de ubicaciones periféricas AWS que le proporcionan un amplio acceso a la capacidad de mitigación de DDoS de Shield y distribuyen su aplicación desde una infraestructura más cercana a los usuarios finales.

CloudFront: las mitigaciones de Shield DDoS solo permiten que el tráfico válido para aplicaciones web pase al servicio. Esto proporciona protección automática contra muchos de los vectores de DDoS más comunes, como los ataques de reflexión UDP.

CloudFront mantiene conexiones persistentes con el origen de su aplicación, las inundaciones de TCP SYN se mitigan automáticamente mediante la integración con la característica de proxy TCP SYN de Shield y la Seguridad de la Capa de Transporte (TLS) termina en la periferia. Estas características combinadas garantizan que el origen de su aplicación solo reciba solicitudes web bien formadas y que esté protegida contra ataques DDoS de capa inferior, inundaciones de conexiones y abuso de TLS.

CloudFront utiliza una combinación de dirección de tráfico DNS y enrutamiento anycast. Estas técnicas mejoran la resiliencia de su aplicación al mitigar los ataques cerca del origen, aislar las fallas y garantizar el acceso a la capacidad necesaria para mitigar los ataques más grandes conocidos.
Route 53: las mitigaciones de Shield solo permiten que las solicitudes de DNS válidas lleguen al servicio. Shield mitiga las inundaciones de consultas de DNS mediante una puntuación de sospecha que prioriza las consultas que se sabe que son seguras y deja de priorizar las consultas que contienen atributos de ataque DDoS sospechosos o conocidos.

Route 53 utiliza la partición aleatoria para proporcionar un conjunto único de cuatro direcciones IP de resolución para cada zona alojada, tanto para IPv4 como para IPv6. Cada dirección IP corresponde a un subconjunto diferente de ubicaciones de Route 53. Cada subconjunto de ubicaciones consta de servidores DNS autorizados que solo se superponen parcialmente con la infraestructura de cualquier otro subconjunto. Esto garantiza que si la consulta de un usuario falla por cualquier motivo, se atenderá correctamente al volver a intentarlo.

Route 53 usa el enrutamiento anycast para dirigir las consultas de DNS a la ubicación periférica más cercana, en función de la proximidad de la red. Anycast también distribuye el tráfico DDoS a muchas ubicaciones periféricas, lo que evita que los ataques se centren en una sola ubicación.

Además de la tasa de mitigación, CloudFront y Route 53 proporcionan un amplio acceso a la capacidad de Shield distribuida a nivel mundial. Para aprovechar estas capacidades, utilice estos servicios como punto de entrada para sus aplicaciones web dinámicas o estáticas.

Para obtener más información sobre el uso de CloudFront y Route 53 para proteger las aplicaciones web, consulte Cómo ayudar a proteger las aplicaciones web dinámicas contra los ataques DDoS mediante Amazon CloudFront y Amazon Route 53. Para obtener más información sobre el aislamiento de fallas en Route 53, consulte Un estudio de caso en el aislamiento global de fallas.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Características de mitigación

Mitigación para las regiones de AWS