AWS Shield DDoS缓解功能列表

数据包验证：可确保每个被检查的数据包都符合预期的结构，并且对其协议有效。支持的协议验证包括 IP、TCP（包括标头和选项）UDP、ICMPDNS、和。NTP

访问控制列表 (ACLs) 和 shapers — 根据特定属性ACL评估流量，然后丢弃匹配的流量或将其映射到整形器。整形器限制匹配流量的数据包速率，丢弃多余的数据包以容纳到达目的地的容量。 AWS Shield detection 和 Shield Response Team (SRT) 工程师可以为预期流量提供专用的速率分配，并对属性与已知DDoS攻击向量匹配的流量进行更严格的速率分配。ACL可以匹配的属性包括端口、协议、TCP标志、目标地址、来源国家和数据包有效载荷中的任意模式。

怀疑评分：这利用 Shield 对预期流量的了解来对每个数据包进行分数。与已知良好流量模式更接近的数据包会被赋予较低的可疑分数。观察已知的不良流量属性可能会增加数据包的可疑分数。当需要对数据包进行速率限制时，Shield 会先丢弃可疑分数较高的数据包。这有助于 Shield 缓解已知和未修补的DDoS攻击，同时避免误报。

TCPSYNproxy — 这通过在允许新连接传递到受保护的服务之前发送 TCP SYN cookie 来挑战新连接，从而提供防TCPSYN洪保护。Shield DDoS 缓解提供的TCPSYN代理是无状态的，这使其能够在不耗尽状态的情况下缓解已知最大的TCPSYN洪水攻击。这是通过与 AWS 服务集成以移交连接状态来实现的，而不是在客户端和受保护的服务之间维护持续的代理。TCPSYN代理目前在亚马逊 CloudFront 和亚马逊 Route 53 上可用。

速率分布：这会根据流向受保护资源的流量的入口模式不断调整每个位置的整形器值。这样可以防止对可能无法均匀进入 AWS 网络的客户流量进行速率限制。