Métricas de AWS Shield Advanced - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced
Métricas de detecciónMétricas de mitigaciónMétricas de los principales colaboradores

Métricas de AWS Shield Advanced

Shield Advanced publica las métricas de detección, mitigación y principal colaborador de Amazon CloudWatch para todos los recursos que protege. Estas métricas mejoran la capacidad de supervisar los recursos, ya que permiten crear y configurar paneles y alarmas de CloudWatch para ellos.

La consola de Shield Advanced presenta resúmenes de muchas de las métricas que registra. Para obtener más información, consulte Visibilidad de los eventos de DDoS con Shield Advanced.

Si habilita la mitigación automática de DDoS en la capa de aplicación para proteger esa capa,

Ubicaciones de los informes de métricas

Shield Advanced obtiene información sobre métricas de la región del Este de EE. UU. (Norte de Virginia), us-east-1 para:

Para otros tipos de recursos, Shield Advanced informa de las métricas de la región del recurso.

Plazo para la presentación de informes sobre métricas

Shield Advanced informa a Amazon CloudWatch de las métricas de un recurso de AWS con más frecuencia durante los eventos de DDoS que cuando no hay ningún evento en curso. Shield Advanced informa de las métricas una vez por minuto durante un evento y, después, una vez finalizado el evento.

Aunque no haya eventos en curso, Shield Advanced notifica las métricas una vez al día, a una hora asignada al recurso. Este informe periódico mantiene las métricas activas y disponibles para su uso en las alarmas y los paneles de CloudWatch personalizados.

Recomendaciones de alarmas

Le recomendamos que cree alarmas para notificarle las circunstancias que requieren atención. Como punto de partida, puede crear una alarma para cada recurso protegido que informe cuando la métrica de detección DDoSDetected no sea cero. Un valor distinto de cero en esta métrica no implica necesariamente que se esté produciendo un ataque DDoS, pero recomendamos analizar más detenidamente el estado del recurso cuando la métrica se encuentre en este estado.

En el caso de una avalancha de solicitudes, le recomendamos que cree alarmas para realizar comprobaciones compuestas que también tengan en cuenta factores como el estado de las aplicaciones y el volumen de solicitudes web. Puede optar por utilizar la alarma en las otras tres métricas que informan sobre el volumen de tráfico para diversas dimensiones del vector de ataque. Al tener en cuenta la capacidad de su aplicación y las alarmas cuando el tráfico se acerca a las limitaciones de la aplicación, se puede crear un conjunto de reglas que notifiquen cuando sea necesario, sin generar demasiados ruidos no deseados.

Métricas de detección

Shield Advanced proporciona las métricas y las dimensiones en el espacio de nombres de AWS/DDoSProtection.

Métricas de detección
Métrica Descripción
DDoSDetected Indica si se está realizando un evento DDoS para un nombre de recurso de Amazon (ARN) determinado.

Esta métrica tiene un valor distinto de cero durante un evento.

DDoSAttackBitsPerSecond El número de bits observados durante un evento DDoS para un nombre de recurso de Amazon (ARN) determinado. Esta métrica está disponible solo para eventos DDoS de capa de red y transporte (capa 3 y capa 4).

Esta métrica tiene un valor distinto de cero durante un evento.

Unidades: bits
DDoSAttackPacketsPerSecond El número de paquetes observados durante un evento DDoS para un nombre de recurso de Amazon (ARN) determinado. Esta métrica está disponible solo para eventos DDoS de capa de red y transporte (capa 3 y capa 4).

Esta métrica tiene un valor distinto de cero durante un evento.

Unidades: paquetes
DDoSAttackRequestsPerSecond El número de solicitudes observadas durante un evento DDoS para un nombre de recurso de Amazon (ARN) determinado. Esta métrica está disponible solo para los eventos DDoS de la capa 7. Esta métrica se registra solo para los eventos de la capa 7 más importantes.

Esta métrica tiene un valor distinto de cero durante un evento.

Unidades: solicitudes

Shield Advanced publica la métrica de DDoSDetected sin otras dimensiones. Las métricas de detección restantes incluyen las dimensiones de AttackVector que corresponden al tipo de ataque, de la siguiente lista:

  • ACKFlood

  • ChargenReflection

  • DNSReflection

  • GenericUDPReflection

  • MemcachedReflection

  • MSSQLReflection

  • NetBIOSReflection

  • NTPReflection

  • PortMapper

  • RequestFlood

  • RIPReflection

  • SNMPReflection

  • SSDPReflection

  • SYNFlood

  • UDPFragment

  • UDPTraffic

  • UDPReflection

Métricas de mitigación

Shield Advanced proporciona las métricas y las dimensiones en el espacio de nombres de AWS/DDoSProtection.

Métricas de mitigación
Métrica Descripción
VolumePacketsPerSecond La cantidad de paquetes por segundo que una mitigación implementada en respuesta a un evento detectado descartó o aprobó.

Unidades: paquetes

Dimensiones de mitigación
Dimensión Descripción

ResourceArn

Nombre de recurso de Amazon (ARN)

MitigationAction

El resultado de una mitigación aplicada. Los valores posibles son Pass o Drop.

Métricas de los principales colaboradores

Shield Advanced proporciona las métricas en el espacio de nombres de AWS/DDoSProtection.

Métricas de los principales colaboradores
Métrica Descripción
VolumePacketsPerSecond El número de paquetes por segundo para un colaborador principal.

Unidades: paquetes

VolumeBitsPerSecond El número de bits por segundo de un contribuyente principal.

Unidades: bits

Shield Advanced publica las métricas de los principales colaboradores por combinaciones de dimensiones que caracterizan a los colaboradores del evento. Puede utilizar cualquiera de las siguientes combinaciones de dimensiones para cualquiera de las métricas de principales contribuyentes:

  • ResourceArn, Protocol

  • ResourceArn, Protocol, SourcePort

  • ResourceArn, Protocol, DestinationPort

  • ResourceArn, Protocol, SourceIp

  • ResourceArn, Protocol, SourceAsn

  • ResourceArn, TcpFlags

Dimensiones de principales contribuyentes
Dimensión Descripción

ResourceArn

Nombre de recurso de Amazon (ARN).

Protocol

Nombre del protocolo IP, ya sea TCP o UDP.

SourcePort

Puerto TCP o UDP de origen.

DestinationPort

Puerto TCP o UDP de destino.

SourceIp

Dirección IP de origen.

SourceAsn

Número de sistema autónomo (ASN) de origen.

TcpFlags

Combinación de indicadores presentes en un paquete TCP, separados por un guión (-). Los indicadores monitoreados son ACK, FIN, RST, SYN. Este valor de dimensión siempre aparece ordenado alfabéticamente. Por ejemplo, ACK-FIN-RST-SYN, ACK-SYN y FIN-RST.