**Apresentando uma nova experiência de console para AWS WAF** Agora você pode usar a experiência atualizada para acessar a AWS WAF funcionalidade em qualquer lugar do console. Para obter mais detalhes, consulte [Trabalhando com o console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Lista de recursos de mitigação de AWS Shield DDo S As principais características da mitigação de AWS Shield DDo S são as seguintes: + **Validação de pacotes**: isso garante que cada pacote inspecionado esteja em conformidade com uma estrutura esperada e seja válido para seu protocolo. As validações de protocolo suportadas incluem IP, TCP (incluindo cabeçalho e opções), UDP, ICMP, DNS e NTP. + **Listas de controle de acesso (ACLs) e modeladores** — Uma ACL avalia o tráfego em relação a atributos específicos e descarta o tráfego correspondente ou o mapeia para um modelador. O shaper limita a taxa de pacotes para o tráfego correspondente, descartando pacotes em excesso para conter o volume que chega ao destino. AWS Shield Os engenheiros de detecção e do Shield Response Team (SRT) podem fornecer alocações de taxas dedicadas para o tráfego esperado e alocações de taxas mais restritivas para o tráfego com atributos que correspondem aos vetores de ataque S conhecidos DDo. Os atributos que uma ACL pode combinar incluem porta, protocolo, sinalizadores TCP, endereço de destino, país de origem e padrões arbitrários na carga útil do pacote. + **Pontuação de suspeita**: usa o conhecimento que o Shield tem do tráfego esperado para aplicar uma pontuação a cada pacote. Pacotes que seguem mais de perto os padrões de tráfego em boas condições recebem uma pontuação de suspeita mais baixa. A observação de atributos conhecidos de tráfego incorreto pode aumentar a pontuação de suspeita de um pacote. Quando é necessário limitar a taxa de pacotes, o Shield descarta primeiro os pacotes com maior pontuação de suspeita. Isso ajuda a Shield a mitigar ataques DDo S conhecidos e de dia zero, evitando falsos positivos. + **Proxy TCP SYN**: isso fornece proteção contra floods TCP SYN enviando cookies TCP SYN para desafiar novas conexões antes de permitir que elas passem para o serviço protegido. O proxy TCP SYN fornecido pela mitigação Shield DDo S não tem estado, o que permite mitigar os maiores ataques de inundação TCP SYN conhecidos sem atingir a exaustão do estado. Isso é obtido por meio da integração com AWS os serviços para transferir o estado da conexão, em vez de manter um proxy contínuo entre o cliente e o serviço protegido. Atualmente, o proxy TCP SYN está disponível na Amazon e no CloudFront Amazon Route 53. + **Distribuição de intervalos**: isso ajusta continuamente os valores do shaper por local com base no padrão de entrada de tráfego em direção a um recurso protegido. Isso evita a limitação da taxa de tráfego de clientes que podem não entrar na AWS rede uniformemente.