緩和機能

パケット検証 — これにより、検査されたすべてのパケットが期待される構造に適合し、そのプロトコルに対して有効であることが保証されます。サポートされているプロトコル検証には、IP、TCP（ヘッダーとオプションを含む）、UDP、ICMP、DNS、および NTP が含まれます。

アクセスコントロールリスト (ACL) と Shaper — ACL は特定の属性に対してトラフィックを評価し、一致するトラフィックをドロップするか、シェーパーにマッピングします。シェーパーは一致するトラフィックのパケットレートを制限し、宛先に到達する量を抑えるために余分なパケットをドロップします。 AWS Shield Detection and Shield Response Team（SRT）のエンジニアは、予想されるトラフィックには専用のレート割り当てを行い、既知のDDoS攻撃ベクトルと一致する属性を持つトラフィックにはより制限の厳しいレート割り当てを行うことができます。ACL が照合できる属性には、パケットペイロード内のポート、プロトコル、TCP フラグ、宛先アドレス、送信元の国、および任意のパターンが含まれます。

疑惑のスコアリング — これにより、Shield が期待するトラフィックに関する知識を使用して、すべてのパケットにスコアを適用されます。既知の正常なトラフィックのパターンに近いパケットには、より低い疑惑スコアが割り当てられます。既知の不良トラフィック属性を観察すると、パケットの疑惑スコアが高まる可能性があります。レート制限パケットが必要な場合、Shield は疑惑スコアが高いパケットからドロップします。これは、Shield が誤検知を回避しながら、既知の DDoS 攻撃とゼロデイ攻撃の両方を軽減するのに役立ちます。

TCP SYN プロキシ — これにより、TCP SYN Cookie が保護されたサービスに渡すのを許可する前に新しい接続に挑戦するために TCP SYN Cookie を送信することで、TCP SYN フラッドに対する保護が提供されます。Shield DDoS 緩和によって提供される TCP SYN プロキシはステートレスであり、ステートを使い果たすことなく、既知の最大の TCP SYN フラッド攻撃を軽減できます。これは、 AWS クライアントと保護対象サービスの間で継続的なプロキシを維持するのではなく、サービスと統合して接続状態を引き継ぐことで実現されます。TCP SYN プロキシは現在、 CloudFront アマゾンとAmazon ルート 53 で使用できます。

レートの分布 — これにより、保護されたリソースへのトラフィックの入力パターンに基づいて、ロケーションシェーパーの値を継続的に調整します。これにより、 AWS ネットワークに均等に入らない可能性のある顧客トラフィックのレート制限が防止されます。