Mettre en place des mesures d'atténuation personnalisées contre les DDoS attaques à l'aide du SRT - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Mettre en place des mesures d'atténuation personnalisées contre les DDoS attaques à l'aide du SRT

Cette page fournit des instructions pour travailler avec le SRT afin de créer des mesures d'atténuation personnalisées contre les DDoS attaques.

Pour votre Elastic IPs (EIPs) et vos accélérateurs AWS Global Accelerator standard, vous pouvez utiliser le SRT pour configurer des mesures d'atténuation personnalisées. Cela est utile si vous connaissez une logique spécifique qui doit être appliquée lors de la mise en place d'une mesure d'atténuation. Par exemple, vous souhaiterez peut-être autoriser uniquement le trafic provenant de certains pays, appliquer des limites de débit spécifiques, configurer des validations facultatives, interdire les fragments ou n'autoriser que le trafic correspondant à un modèle spécifique de charge utile des paquets.

Voici des exemples de mesures d'atténuation personnalisées courantes :

  • Correspondance de modèles : si vous exploitez un service qui interagit avec des applications côté client, vous pouvez choisir de faire correspondre des modèles connus propres à ces applications. Par exemple, vous pouvez exploiter un service de jeu ou de communication qui oblige l'utilisateur final à installer un logiciel spécifique que vous distribuez. Vous pouvez inclure un chiffre magique dans chaque paquet envoyé par l'application à votre service. Vous pouvez faire correspondre jusqu'à 128 octets (séparés ou contigus) d'une charge utile et d'en-têtes non fragmentés TCP ou UDP par paquets. La correspondance peut être exprimée en notation hexadécimale sous la forme d'un décalage spécifique par rapport au début de la charge utile du paquet ou d'un décalage dynamique suivant une valeur connue. Par exemple, l'atténuation peut rechercher l'octet 0x01 puis 0x12345678 s'attendre aux quatre octets suivants.

  • DNSspécifique — Si vous gérez votre propre DNS service faisant autorité à l'aide de services tels que Global Accelerator ou Amazon Elastic Compute Cloud (AmazonEC2), vous pouvez demander une atténuation personnalisée qui valide les paquets afin de garantir la validité des DNS requêtes et appliquer un score de suspicion qui évalue les attributs spécifiques au trafic. DNS

Pour en savoir plus sur l'utilisation de SRT solutions d'atténuation personnalisées, créez un dossier d'assistance sous. AWS Shield Pour en savoir plus sur la création de AWS Support dossiers, consultez Getting started with AWS Support.