Lógica AWS Shield de mitigação para CloudFront e Route 53

Essa página explica como a mitigação de DDoS do Shield inspeciona continuamente o tráfego do CloudFront e do Route 53. Esses serviços operam a partir de uma rede distribuída globalmente de locais de borda AWS que fornecem amplo acesso à capacidade de mitigação de DDoS do Shield e entregam seu aplicativo a partir de uma infraestrutura mais próxima de seus usuários finais.

CloudFront: as mitigações de DDoS do Shield só permitem que o tráfego válido para aplicativos da web passe para o serviço. Isso fornece proteção automática contra muitos vetores comuns de DDoS, como ataques de reflexão UDP.

O CloudFront mantém conexões persistentes com a origem do seu aplicativo, os floods de TCP SYN são automaticamente mitigadas por meio da integração com o atributo de proxy Shield TCP SYN e o Transport Layer Security (TLS) é encerrado na borda. Esses atributos combinados garantem que a origem do seu aplicativo receba apenas solicitações da web bem formadas e que esteja protegida contra ataques de DDoS de camada inferior, floods de conexão e abuso de TLS.

O CloudFront usa uma combinação de direção de tráfego DNS e roteamento anycast. Essas técnicas melhoram a resiliência do seu aplicativo mitigando ataques próximos à origem, fornecendo isolamento de falhas e garantindo acesso à capacidade de mitigar os maiores ataques conhecidos.
Route 53: as mitigações do Shield só permitem que solicitações de DNS válidas cheguem ao serviço. O Shield mitiga floods de consultas ao DNS usando a pontuação de suspeita que prioriza consultas reconhecidamente válidas e retira a prioridade das consultas que contenham atributos de ataque de DDoS suspeitos ou conhecidos.

O Route 53 usa fragmentação aleatória para fornecer um conjunto exclusivo de quatro endereços IP do resolvedor para cada zona hospedada, tanto para IPv4 quanto para IPv6. Cada endereço IP corresponde a um subconjunto diferente de localizações do Route 53. Cada subconjunto de localização consiste em servidores DNS autoritativos que se sobrepõem apenas parcialmente à infraestrutura em qualquer outro subconjunto. Isso garante que, se uma consulta do usuário falhar por qualquer motivo, ela será atendida com sucesso em uma nova tentativa.

O Route 53 usa o roteamento anycast para direcionar consultas ao DNS ao ponto de presença mais próximo, com base no local da borda. O Anycast também distribui o tráfego de DDoS para vários locais da borda, o que impede que os ataques se concentrem em um único local.

Além da velocidade de mitigação, o CloudFront e o Route 53 fornecem amplo acesso à capacidade distribuída globalmente do Shield. Para aproveitar esses recursos, use esses serviços como ponto de entrada de seus aplicativos web dinâmicos ou estáticos.

Para saber mais sobre o uso do CloudFront e do Route 53 para proteger aplicativos web, consulte Como ajudar a proteger aplicativos web dinâmicos contra ataques de DDoS usando o Amazon CloudFront e o Amazon Route 53. Para saber mais sobre isolamento de falhas no Route 53, consulte Um estudo de caso sobre isolamento global de falhas.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Atributos de mitigação

Mitigação para regiões da AWS