本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Shield CloudFront 和 Route 53 的緩解邏輯
此頁面說明 Shield DDoS緩解如何持續檢查 CloudFront 和 Route 53 的流量。這些服務從全球分佈的 AWS 邊緣位置網路運作,可讓您廣泛存取 Shield 的DDoS緩解容量,並從更接近最終使用者的基礎設施交付您的應用程式。
-
CloudFront – Shield DDoS緩解僅允許對 Web 應用程式有效的流量傳遞至 服務。這可自動保護許多常見的DDoS向量,例如UDP反射攻擊。
CloudFront 會維持與應用程式原始伺服器的持續連線、透過與 Shield TCPSYN代理功能的整合自動緩解TCPSYN洪水,並在邊緣終止 Transport Layer Security (TLS)。這些合併功能可確保您的應用程式原始伺服器僅收到格式良好的 Web 請求,並受到保護,免於下層DDoS攻擊、連線洪水和TLS濫用。
CloudFront 使用DNS流量方向和任意廣播路由的組合。這些技術透過緩解靠近來源的攻擊、提供故障隔離,以及確保存取容量以緩解最大的已知攻擊,來改善應用程式的復原能力。
-
Route 53 – Shield 緩解僅允許有效的DNS請求到達 服務。Shield 使用可疑評分來減輕DNS查詢溢出,該評分會排定已知良好查詢的優先順序,並將包含可疑或已知DDoS攻擊屬性的查詢取消優先順序。
Route 53 使用隨機分割,為 IPv4和 為每個託管區域提供一組四個唯一解析器 IP 地址IPv6。每個 IP 地址對應到 Route 53 位置的不同子集。每個位置子集都由權威伺服器組成,這些DNS伺服器僅部分與任何其他子集中的基礎設施重疊。這可確保如果使用者查詢因任何原因失敗,其將在重試時成功提供。
Route 53 使用任意傳送路由,根據網路鄰近程度將DNS查詢導向最近的邊緣位置。Anycast 也會將DDoS流量散播到許多邊緣位置,以防止攻擊聚焦於單一位置。
除了緩解速度之外, CloudFront Route 53 還提供對 Shield 全球分佈容量的廣泛存取。若要利用這些功能,請使用這些服務作為動態或靜態 Web 應用程式的進入點。
若要進一步了解如何使用 CloudFront 和 Route 53 來保護 Web 應用程式,請參閱如何使用 Amazon CloudFront 和 Amazon Route 53 協助保護動態 Web 應用程式免受DDoS攻擊
