AWS Shield logika mitigasi untuk CloudFront dan Rute 53 - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS Shield logika mitigasi untuk CloudFront dan Rute 53

Halaman ini menjelaskan bagaimana DDoS mitigasi Shield terus memeriksa lalu lintas untuk CloudFront dan Route 53. Layanan ini beroperasi dari jaringan lokasi AWS edge yang didistribusikan secara global yang memberi Anda akses luas ke kapasitas DDoS mitigasi Shield dan mengirimkan aplikasi Anda dari infrastruktur yang lebih dekat dengan pengguna akhir Anda.

  • CloudFront— DDoS Mitigasi Shield hanya memungkinkan lalu lintas yang valid untuk aplikasi web untuk melewati layanan. Ini memberikan perlindungan otomatis terhadap banyak DDoS vektor umum, seperti serangan UDP refleksi.

    CloudFront mempertahankan koneksi persisten ke asal aplikasi Anda, TCP SYN banjir secara otomatis dikurangi melalui integrasi dengan fitur TCP SYN proxy Shield, dan Transport Layer Security (TLS) dihentikan di edge. Fitur gabungan ini memastikan bahwa asal aplikasi Anda hanya menerima permintaan web yang terbentuk dengan baik dan dilindungi dari DDoS serangan lapisan bawah, banjir koneksi, dan penyalahgunaan. TLS

    CloudFront menggunakan kombinasi arah DNS lalu lintas dan perutean anycast. Teknik-teknik ini meningkatkan ketahanan aplikasi Anda dengan mengurangi serangan yang dekat dengan sumbernya, memberikan isolasi kesalahan, dan memastikan akses ke kapasitas untuk mengurangi serangan terbesar yang diketahui.

  • Route 53 - Mitigasi Shield hanya mengizinkan DNS permintaan yang valid untuk mencapai layanan. Shield mengurangi banjir DNS kueri menggunakan penilaian kecurigaan yang memprioritaskan kueri baik yang diketahui dan tidak memprioritaskan kueri yang berisi atribut serangan yang mencurigakan atau diketahui. DDoS

    Route 53 menggunakan sharding shuffle untuk menyediakan satu set unik dari empat alamat IP resolver ke setiap zona yang dihosting, untuk keduanya dan. IPv4 IPv6 Setiap alamat IP sesuai dengan subset yang berbeda dari lokasi Route 53. Setiap subset lokasi terdiri dari DNS server otoritatif yang hanya sebagian tumpang tindih dengan infrastruktur di subset lainnya. Ini memastikan bahwa jika kueri pengguna gagal karena alasan apa pun, itu akan berhasil disajikan pada percobaan ulang.

    Route 53 menggunakan perutean anycast untuk mengarahkan DNS kueri ke lokasi tepi terdekat, berdasarkan kedekatan jaringan. Anycast juga DDoS menggemari lalu lintas ke banyak lokasi tepi, yang mencegah serangan berfokus pada satu lokasi.

Selain kecepatan mitigasi, CloudFront dan Route 53 menyediakan akses luas ke kapasitas Shield yang didistribusikan secara global. Untuk memanfaatkan kemampuan ini, gunakan layanan ini sebagai titik masuk aplikasi web dinamis atau statis Anda.

Untuk mempelajari lebih lanjut tentang menggunakan CloudFront dan Route 53 untuk melindungi aplikasi web, lihat Cara Membantu Melindungi Aplikasi Web Dinamis Terhadap DDoS Serangan dengan Menggunakan Amazon CloudFront dan Amazon Route 53. Untuk mempelajari lebih lanjut tentang isolasi kesalahan pada Rute 53, lihat Studi Kasus dalam Isolasi Kesalahan Global.