AWS Shield 基础设施层威胁(第 3 层和第 4 层)的检测逻辑 - AWS WAFAWS Firewall Manager、和 AWS Shield Advanced

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS Shield 基础设施层威胁(第 3 层和第 4 层)的检测逻辑

本页介绍了基础设施(网络层和传输层)事件检测的工作方式。

用于保护目标 AWS 资源免受基础架构层(第 3 层和第 4 层)中 DDo S 攻击的检测逻辑取决于资源类型以及是否使用保护资源 AWS Shield Advanced。

检测亚马逊 CloudFront 和亚马逊 53 号公路

当您使用 CloudFront 和 Route 53 为 Web 应用程序提供服务时,该应用程序的所有数据包都将由完全内联的 DDo S 缓解系统进行检查,该系统不会引入任何可观察到的延迟。 DDo实时缓解了针对 CloudFront 分布和 Route 53 托管区域的 S 攻击。无论您是否使用 AWS Shield Advanced,这些保护措施都适用。

尽可能遵循使用 CloudFront 和 Route 53 作为 Web 应用程序入口点的最佳实践,以最快地检测和缓解 DDo S 事件。

检测 AWS Global Accelerator 和区域服务

资源级检测可保护 AWS Global Accelerator 标准加速器和在 AWS 区域中启动的资源,例如经典负载均衡器、应用程序负载均衡器和弹性 IP 地址 ()。EIPs监控这些资源类型是否存在流量提升,这可能表明存在需要缓解的 DDo S 攻击。每分钟都会评估每种 AWS 资源的流量。如果资源流量增加,则会执行其他检查以测量该资源的容量。

Shield 会执行以下标准检查:

  • EIPs 附加到亚马逊实例的亚马逊弹性计算云 (Amazon EC2) EC2 实例 — Shield 从受保护的资源中检索容量。容量取决于目标的实例类型、实例大小和其他因素,例如实例是否使用增强联网。

  • 经典负载均衡器和应用程序负载均衡器:Shield 从目标负载均衡器节点检索容量。

  • EIPs 连接到网络负载均衡器 — Shield 从目标负载均衡器检索容量。容量与目标负载均衡器的组配置无关。

  • AWS Global Accelerator 标准加速器 — Shield 根据端点配置检索容量。

这些评估跨网络流量的多个维度进行,例如端口和协议。如果超过目标资源的容量,Shield 会将 DDo S 缓解措施。Shield 实施的缓解措施将减少 DDo S 流量,但可能无法将其消除。如果在与已知的 DDo S 攻击向量一致的流量维度上超过资源容量的一小部分,Shield 也可以采取缓解措施。Shield 将这种缓解设置为有限生存时间 (TTL),只要攻击仍在继续,它就会延长该缓解措施。

注意

Shield 实施的缓解措施将减少 DDo S 流量,但可能无法将其消除。你可以使用诸如此类的解决方案 AWS Network Firewall 或主机上的防火墙来增强 Shield iptables 防止您的应用程序处理对您的应用程序无效或不是由合法最终用户生成的流量。

Shield Advanced 保护在现有的 Shield 检测活动中增加了以下内容:

  • 降低检测阈值:Shield Advanced 将缓解措施设置为计算容量的一半。这可以更快地缓解上升速度较慢的攻击,并缓解体量特征较为模糊的攻击。

  • 间歇性攻击防护:Shield Advanced 根据攻击的频率和持续时间,将缓解的生存时间 (TTL) 以指数形式递增。当资源经常成为攻击目标以及攻击发生在短时间内时,这可以延长缓解措施的持续时间。

  • 运行状况检测:将 Route 53 运行状况检查与 Shield Advanced 受保护的资源关联时,将在检测逻辑中使用运行状况检查的状态。在检测到的事件中,如果运行状况检查显示状况正常,Shield Advanced 需要进一步确信该事件是攻击,才会采取缓解措施。相反,如果运行状况检查显示状况不佳,Shield Advanced 可能会在确信之前就采取缓解措施。此功能有助于避免误报,并且可以更快地对影响应用程序的攻击做出反应。有关使用 Shield Advanced 进行运行状况检查的信息,请参阅 使用 Shield Advanced 和 Route 53 进行运行状况检测