本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
應用程式層威脅的 Shield Advanced 偵測邏輯 (第 7 層)
此頁面說明事件偵測如何用於應用程式層。
AWS Shield Advanced 為受保護的 Amazon CloudFront 分佈和 Application Load Balancer 提供 Web 應用程式層偵測。當您使用 Shield Advanced 保護這些資源類型時,您可以將 AWS WAF Web ACL 與您的保護建立關聯,以啟用 Web 應用程式層偵測。Shield Advanced 會使用相關聯 Web ACL 的請求資料,並為您的應用程式建置流量基準。Web 應用程式層偵測依賴 Shield Advanced 與 之間的原生整合 AWS WAF。若要進一步了解應用程式層保護,包括將 AWS WAF Web ACL 與 Shield Advanced 受保護資源建立關聯,請參閱 使用 AWS Shield Advanced 和 保護應用程式層 (第 7 層) AWS WAF。
對於 Web 應用程式層偵測,Shield Advanced 會監控應用程式流量,並將其與尋找異常的歷史基準進行比較。此監控涵蓋總磁碟區和流量的組成。在 DDoS 攻擊期間,我們預期流量的磁碟區和組成都會變更,而 Shield Advanced 需要兩者的統計顯著偏差才能宣告事件。
Shield Advanced 會根據歷史時段執行其測量。此方法可減少來自流量的合法變更或來自符合預期模式之流量變更的誤報,例如每天在相同時間提供的銷售。
注意
給予 Shield Advanced 時間來建立代表正常、合法流量模式的基準,以避免 Shield Advanced 保護中的誤報。當您將 Web ACL 與受保護的資源建立關聯時,Shield Advanced 會開始收集其基準的資訊。在任何可能導致 Web 流量異常模式的計劃事件之前至少 24 小時,將 Web ACL 與您的受保護資源建立關聯。Shield Advanced Web 應用程式層偵測在觀察到 30 天的正常流量時最準確。
Shield Advanced 偵測事件所需的時間會受到其在流量中觀察到的變更量的影響。對於較低的磁碟區變更,Shield Advanced 會觀察較長期間的流量,以建立事件發生時的可信度。對於更高的磁碟區變更,Shield Advanced 會更快速地偵測和報告事件。
無論是由您新增或由 Shield Advanced 自動應用程式層緩解功能新增的以速率為基礎的規則,都可以在攻擊達到可偵測層級之前緩解攻擊。如需自動應用程式層 DDoS 緩解的詳細資訊,請參閱使用 Shield Advanced 自動化應用程式層 DDoS 緩解 。
注意
您可以建構您的應用程式來擴展,以回應流量增加或負載增加,以確保不受較小的請求洪水影響。使用 Shield Advanced,您的受保護資源會受到成本保護。這可協助您避免因 DDoS 攻擊而可能發生的雲端帳單意外增加。若要進一步了解 Shield Advanced 成本保護,請參閱在攻擊 AWS Shield Advanced 後請求 中的額度。
