緩解功能清單 AWS Shield DDoS

封包驗證 – 這可確保每個檢查的封包符合預期的結構，且對其通訊協定有效。支援的通訊協定驗證包括 IP TCP（包括標頭和選項）UDP、、ICMP、 DNS和 NTP。

存取控制清單 （ACLs） 和形狀器 – 會根據特定屬性ACL評估流量，並捨棄相符的流量或將其映射至形狀器。塑形器會限制相符流量的封包速率，捨棄多餘的封包，以包含到達目的地的磁碟區。 AWS Shield 偵測和 Shield Response Team （SRT） 工程師可以為預期流量提供專用速率分配，並對具有符合已知DDoS攻擊向量屬性的流量提供更嚴格的速率分配。ACL 可相符的屬性包括封包承載中的連接埠、通訊協定、TCP旗標、目的地地址、來源國家/地區和任意模式。

可疑評分 – 這會使用 Shield 對預期流量的了解，將分數套用至每個封包。更嚴格遵守已知良好流量模式的封包，會獲得較低的懷疑分數。觀察已知不良流量屬性可能會增加封包的可疑分數。需要對限制封包進行評分時，Shield 會先捨棄懷疑分數較高的封包。這有助於 Shield 緩解已知和零時差DDoS攻擊，同時避免誤報。

TCP SYN Proxy – 這透過傳送 TCP SYN Cookie 來挑戰新的連線，然後再允許它們傳遞至受保護的服務，藉此提供對TCPSYN洪水的保護。Shield DDoS緩解提供的TCPSYN代理是無狀態的，這允許它減輕最大的已知TCPSYN洪水攻擊，而不會達到狀態耗盡。這可透過與 AWS 服務整合來傳遞連線狀態，而不是在用戶端和受保護服務之間維護連續代理來實現。TCP SYN Proxy 目前可在 Amazon CloudFront 和 Amazon Route 53 上使用。

速率分佈 – 這會根據流量的輸入模式，持續調整每個位置的形狀值，以提供給受保護的資源。這可防止限制可能無法平均進入 AWS 網路的客戶流量速率。