使用 SRT 设置抵御 DDoS 攻击的自定义缓解措施 - AWS WAF、AWS Firewall Manager 和 AWS Shield Advanced

使用 SRT 设置抵御 DDoS 攻击的自定义缓解措施

本页提供了使用 SRT 构建抵御 DDoS 攻击的自定义缓解措施的说明。

对于您的弹性 IP (EIP) 和 AWS Global Accelerator 标准加速器,您可以与 SRT 合作配置自定义缓解措施。如果您知道在实施缓解措施时应强制执行的特定逻辑,则这一操作很有帮助。例如,您可能希望仅允许来自某些国家/地区的流量,强制执行特定的速率限制,配置可选验证,禁止分段,或者只允许与数据包有效载荷中特定模式匹配的流量。

常见自定义缓解措施示例:

  • 模式匹配:如果您运营的服务与客户端应用程序交互,则可以选择匹配这些应用程序特有的已知模式。例如,您可能经营游戏或通信服务,要求最终用户安装您分配的特定软件。您可以在应用程序发送给您的服务的每个数据包中加入一个幻数字。您最多可以匹配 128 字节(单独或连续)的未分段 TCP 或 UDP 数据包有效负载和标头。匹配可以用十六进制表示法表示,即从数据包有效载荷开始的特定偏移量,或已知值之后的动态偏移量。例如,缓解措施可以查找字节 0x01,然后期望 0x12345678 为接下来的四个字节。

  • 特定于 DNS:如果您使用诸如 Global Accelerator 或 Amazon Elastic Compute Cloud (Amazon EC2) 之类的服务运营自己的权威 DNS 服务,则可以请求自定义缓解措施来验证数据包以确保它们是有效的 DNS 查询,并应用可疑评分来评估特定于 DNS 流量的属性。

要询问如何与 SRT 合作构建自定义缓解措施,请在 AWS Shield 下方创建支持案例。如需了解关于创建 AWS Support 案例的更多信息,请参阅 AWS Support 入门