Métriques de détection Mesures d'atténuation Statistiques relatives aux principaux contributeurs

AWS Shield Advanced métriques

Shield Advanced publie les indicateurs CloudWatch de détection et d'atténuation d'Amazon ainsi que les indicateurs relatifs aux principaux contributeurs pour toutes les ressources qu'il protège. Ces indicateurs améliorent votre capacité à surveiller vos ressources en permettant de créer et de configurer des CloudWatch tableaux de bord et des alarmes pour celles-ci.

La console Shield Advanced présente des résumés de nombreux indicateurs qu'elle enregistre. Pour plus d’informations, consultez Visibilité sur les événements DDoS.

Si vous activez l'atténuation automatique des attaques DDoS au niveau de la couche application pour une protection de la couche application,

Emplacements des rapports métriques

Shield Advanced publie des statistiques dans la région de l'est des États-Unis (Virginie du Nord), us-east-1 pour les domaines suivants :

Les services mondiaux Amazon CloudFront et Amazon Route 53.
Groupes de protection. Pour plus d'informations sur les groupes de protection, consultezAWS Shield Advanced groupes de protection.

Pour les autres types de ressources, Shield Advanced fournit des statistiques dans la région de la ressource.

Calendrier des rapports métriques

Shield Advanced communique des métriques à Amazon CloudWatch sur une AWS ressource plus fréquemment lors d'événements DDoS que lorsqu'aucun événement n'est en cours. Shield Advanced fournit des statistiques une fois par minute pendant un événement, puis une fois juste après la fin de l'événement.

Tant qu'aucun événement n'est en cours, Shield Advanced fournit des statistiques une fois par jour, à l'heure assignée à la ressource. Ce rapport périodique maintient les métriques actives et disponibles pour une utilisation dans des CloudWatch alarmes et des tableaux de bord personnalisés.

Recommandations relatives aux alarmes

Nous vous recommandons de créer des alarmes pour vous avertir des circonstances nécessitant une attention particulière. Comme point de départ, vous pouvez créer une alarme pour chaque ressource protégée signalant lorsque la métrique DDoSDetected de détection est différente de zéro. Une valeur différente de zéro dans cette métrique ne signifie pas nécessairement qu'une attaque DDoS est en cours, mais nous vous recommandons d'examiner de plus près l'état de la ressource lorsque la métrique est dans cet état.

En cas d'afflux de demandes, nous vous recommandons de créer des alarmes pour les vérifications composites qui tiennent également compte de facteurs tels que l'état de santé des applications et le volume de demandes Web. Vous pouvez choisir de déclencher une alarme sur les trois autres indicateurs qui indiquent le volume de trafic pour différentes dimensions du vecteur d'attaque. En tenant compte de la capacité de votre application et en vous alertant lorsque le trafic approche des limites de votre application, vous pouvez créer un ensemble de règles qui vous avertissent selon vos besoins, sans trop de bruit indésirable.

Rubriques

Métriques de détection
Mesures d'atténuation
Statistiques relatives aux principaux contributeurs

Métriques de détection

Shield Advanced fournit les métriques et les dimensions de l'espace de AWS/DDoSProtection noms.

Métriques de détection
Métrique	Description
`DDoSDetected`	Indique si un événement DDoS est en cours pour un Amazon Resource Name (ARN) spécifique. Cette métrique a une valeur différente de zéro lors d'un événement.
`DDoSAttackBitsPerSecond`	Nombre d'octets observés au cours d'un événement DDoS pour un Amazon Resource Name (ARN) spécifique. Cette métrique n'est disponible que pour les événements DDoS liés au réseau et aux couches de transport (couches 3 et 4). Cette métrique a une valeur différente de zéro lors d'un événement. Unités : octets
`DDoSAttackPacketsPerSecond`	Nombre de paquets observés au cours d'un événement DDoS pour un Amazon Resource Name (ARN) spécifique. Cette métrique n'est disponible que pour les événements DDoS liés au réseau et aux couches de transport (couches 3 et 4). Cette métrique a une valeur différente de zéro lors d'un événement. Unités : paquets
`DDoSAttackRequestsPerSecond`	Nombre de demandes observées au cours d'un événement DDoS pour un Amazon Resource Name (ARN) spécifique. Cette métrique est disponible uniquement pour les événements DDoS de couche 7. Cette métrique est présentée uniquement pour les événements de couche 7 les plus significatifs. Cette métrique a une valeur différente de zéro lors d'un événement. Unités : demandes

Shield Advanced publie la DDoSDetected métrique sans aucune autre dimension. Les autres mesures de détection incluent les AttackVector dimensions correspondant au type d'attaque, dans la liste suivante :

ACKFlood
ChargenReflection
DNSReflection
GenericUDPReflection
MemcachedReflection
MSSQLReflection
NetBIOSReflection
NTPReflection
PortMapper
RequestFlood
RIPReflection
SNMPReflection
SSDPReflection
SYNFlood
UDPFragment
UDPTraffic
UDPReflection

Mesures d'atténuation

Shield Advanced fournit des métriques et des dimensions dans l'espace de AWS/DDoSProtection noms.

Mesures d'atténuation
Métrique	Description
`VolumePacketsPerSecond`	Nombre de paquets par seconde qui ont été abandonnés ou transmis par une mesure d'atténuation déployée en réponse à un événement détecté. Unités : Paquets

Dimensions d'atténuation
Dimension	Description
`ResourceArn`	Amazon Resource Name (ARN)
`MitigationAction`	Le résultat d'une atténuation appliquée. Les valeurs possibles sont `Pass` ou `Drop`.

Statistiques relatives aux principaux contributeurs

Shield Advanced fournit des métriques dans l'espace de AWS/DDoSProtection noms.

Statistiques relatives aux principaux contributeurs
Métrique	Description
`VolumePacketsPerSecond`	Le nombre de paquets par seconde pour un contributeur de premier plan. Unités : Paquets
`VolumeBitsPerSecond`	Le nombre de bits par seconde pour le meilleur contributeur. Unités : bits

Shield Advanced publie les statistiques des principaux contributeurs par combinaison de dimensions qui caractérisent les contributeurs à l'événement. Vous pouvez utiliser l'une des combinaisons de dimensions suivantes pour les indicateurs des principaux contributeurs :

ResourceArn, Protocol
ResourceArn, Protocol, SourcePort
ResourceArn, Protocol, DestinationPort
ResourceArn, Protocol, SourceIp
ResourceArn, Protocol, SourceAsn
ResourceArn, TcpFlags

Dimensions des principaux contributeurs
Dimension	Description
`ResourceArn`	Nom de la ressource Amazon (ARN).
`Protocol`	Nom du protocole IP, `TCP` soit`UDP`.
`SourcePort`	Port TCP ou UDP source.
`DestinationPort`	Port TCP ou UDP de destination.
`SourceIp`	Adresse IP source.
`SourceAsn`	Numéro de système autonome source (ASN).
`TcpFlags`	Combinaison d'indicateurs présents dans un paquet TCP, séparés par un tiret (`-`). Les drapeaux surveillés sont `ACKFIN`,`RST`,`SYN`. Cette valeur de dimension apparaît toujours triée par ordre alphabétique. Par exemple, `ACK-FIN-RST-SYN`, `ACK-SYN` et `FIN-RST`.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

AWS WAF métriques et dimensions

AWS Firewall Manager notifications