本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 SRT 设置针对 DDo S 攻击的自定义缓解措施
本页提供了使用 SRT 构建针对 S 攻击 DDo的自定义缓解措施的说明。
对于您的 Elastic IPs (EIPs) 和 AWS Global Accelerator 标准加速器,您可以使用 SRT 配置自定义缓解措施。如果您知道在实施缓解措施时应强制执行的特定逻辑,则这一操作很有帮助。例如,您可能希望仅允许来自某些国家/地区的流量,强制执行特定的速率限制,配置可选验证,禁止分段,或者只允许与数据包有效载荷中特定模式匹配的流量。
常见自定义缓解措施示例:
-
模式匹配:如果您运营的服务与客户端应用程序交互,则可以选择匹配这些应用程序特有的已知模式。例如,您可能经营游戏或通信服务,要求最终用户安装您分配的特定软件。您可以在应用程序发送给您的服务的每个数据包中加入一个幻数字。您最多可以匹配 128 字节(单独或连续)的未分段 TCP 或 UDP 数据包有效负载和标头。匹配可以用十六进制表示法表示,即从数据包有效载荷开始的特定偏移量,或已知值之后的动态偏移量。例如,缓解措施可以查找字节
0x01,然后期望0x12345678为接下来的四个字节。 -
特定于 DNS — 如果您使用全球加速器或亚马逊弹性计算云 (Amazon EC2) 等服务运营自己的权威 DNS 服务,则可以请求自定义缓解措施,验证数据包以确保它们是有效的 DNS 查询,并应用可疑评分来评估特定于 DNS 流量的属性。
要询问如何与 SRT 合作构建自定义缓解措施,请在 AWS Shield下方创建支持案例。要了解有关创建 AWS 支持 案例的更多信息,请参阅入门 AWS 支持。
