완화 기능 목록 AWS Shield DDoS

패킷 검증 — 이렇게 하면 검사된 모든 패킷이 예상 구조를 준수하고 해당 프로토콜에 유효한지 확인할 수 있습니다. 지원되는 프로토콜 검증에는 IP, TCP (헤더 및 옵션 포함), UDP, ICMP, 및 DNS가 포함됩니다NTP.

액세스 제어 목록(ACLs) 및 쉐이퍼 - 는 특정 속성에 대해 트래픽을 ACL 평가하고 일치하는 트래픽을 삭제하거나 쉐이퍼에 매핑합니다. 이 셰이퍼는 대상에 도달하는 볼륨을 포함하기 위해 초과 패킷을 삭제하여 일치하는 트래픽의 패킷 속도를 제한합니다. AWS Shield 감지 및 Shield 대응 팀(SRT) 엔지니어는 예상 트래픽에 대한 전용 속도 할당과 알려진 DDoS 공격 벡터와 일치하는 속성이 있는 트래픽에 대한 더 제한적인 속도 할당을 제공할 수 있습니다. 가 일치시킬 ACL 수 있는 속성에는 패킷 페이로드의 포트, 프로토콜, TCP 플래그, 대상 주소, 소스 국가 및 임의 패턴이 포함됩니다.

의심 점수 산정 — Shield가 예상 트래픽을 파악하여 모든 패킷에 점수를 적용합니다. 알려진 정상 트래픽 패턴과 더 밀접하게 일치하는 패킷에는 더 낮은 의심 점수가 할당됩니다. 알려진 불량 트래픽 속성을 관찰하면 패킷의 의심 점수를 높일 수 있습니다. 속도 제한 패킷이 필요한 경우 Shield는 의심 점수가 높은 패킷을 먼저 삭제합니다. 이를 통해 Shield는 오탐을 방지하면서 알려진 공격과 제로데이 DDoS 공격을 모두 완화할 수 있습니다.

TCP SYN 프록시 - 쿠키를 전송하여 새 연결이 보호된 서비스로 전달되도록 허용하기 전에 TCP SYN 새 연결에 문제를 제기하여 TCPSYN홍수로부터 보호합니다. Shield DDoS 완화에서 제공하는 TCP SYN 프록시는 상태 비저장이므로 상태 소진에 도달하지 않고도 알려진 최대 TCPSYN홍수 공격을 완화할 수 있습니다. 이는 클라이언트와 보호된 AWS 서비스 간에 지속적인 프록시를 유지하는 대신 서비스와 통합하여 연결 상태를 전환함으로써 달성됩니다. TCP SYN 프록시는 현재 Amazon CloudFront 및 Amazon Route 53에서 사용할 수 있습니다.

속도 분산 — 이렇게 하면 보호된 리소스로 향하는 트래픽의 수신 패턴을 기반으로 위치별 셰이퍼 값이 지속적으로 조정됩니다. 이렇게 하면 AWS 네트워크에 균등하게 들어가지 않을 수 있는 고객 트래픽의 속도 제한이 방지됩니다.