SRT를 사용하여 DDoS 공격에 대한 사용자 지정 완화 설정 - AWS WAF, AWS Firewall Manager 및 AWS Shield Advanced

SRT를 사용하여 DDoS 공격에 대한 사용자 지정 완화 설정

이 페이지에서는 SRT와 협력하여 DDoS 공격에 대한 사용자 지정 완화 조치를 구축하는 방법에 대한 지침을 제공합니다.

탄력적 IP(EIP) 및 AWS Global Accelerator 표준 액셀러레이터의 경우 SRT와 협력하여 사용자 지정 완화 조치를 구성할 수 있습니다. 이는 완화 조치를 적용할 때 실행해야 하는 특정 로직을 알고 있는 경우에 유용합니다. 예를 들어 특정 국가에서 발송된 트래픽만 허용하거나, 특정 속도 제한을 적용하거나, 선택적 검증을 구성하거나, 조각을 허용하지 않거나, 패킷 페이로드의 특정 패턴과 일치하는 트래픽만 허용할 수 있습니다.

다음은 일반적인 사용자 지정 완화 조치의 예입니다.

  • 패턴 매칭 — 클라이언트 측 애플리케이션과 상호 작용하는 서비스를 운영하는 경우 해당 애플리케이션 특유의 알려진 패턴을 기준으로 매칭하도록 선택할 수 있습니다. 예를 들어, 고객사에서 배포하는 특정 소프트웨어를 최종 사용자가 설치해야 하는 게임 또는 통신 서비스를 운영할 수 있습니다. 애플리케이션이 고객사의 서비스로 전송하는 모든 패킷에 매직 넘버를 포함할 수 있습니다. 최대 128바이트(분리 또는 연속)의 조각화되지 않은 TCP 또는 UDP 패킷 페이로드와 헤더를 기준으로 매칭할 수 있습니다. 일치는 16진수 표기법으로 패킷 페이로드 시작 부분으로부터의 특정 오프셋 또는 알려진 값 이후의 동적 오프셋으로 나타낼 수 있습니다. 예를 들어, 완화 기능은 바이트 0x01을(를) 찾은 후 0x12345678을(를) 다음 4바이트로 예상할 수 있습니다.

  • DNS 관련 — Global Accelerator 또는 Amazon Elastic Compute Cloud(Amazon EC2)와 같은 서비스를 사용하여 신뢰할 수 있는 자체 DNS 서비스를 운영하는 경우, 패킷이 유효한 DNS 쿼리인지 확인하는 사용자 지정 완화 조치를 요청하고 DNS 트래픽과 관련된 속성을 평가하는 의심 점수를 적용할 수 있습니다.

SRT와 협력하여 사용자 지정 완화 조치를 구축하는 방법에 대해 문의하려면 AWS Shield 아래에서 지원 케이스를 생성하십시오. AWS Support 케이스 생성에 대한 자세한 내용은 AWS Support 시작하기를 참조하세요.