本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
如何 AWS Shield 緩解事件
此頁面介紹 AWS Shield 事件緩解的運作方式。
保護應用程式的緩解邏輯可能會因應用程式架構而異。當您使用 Amazon CloudFront 和 Amazon Route 53 保護 Web 應用程式時,您將受益於 Web 和DNS使用案例特有的緩解措施,並保護服務的所有流量。當您應用程式的進入點是在 AWS 區域中執行的資源時,緩解邏輯會根據服務、資源類型和您對 的使用而有所不同 AWS Shield Advanced。
AWS DDoS 緩解系統由 Shield 工程師開發,並與 AWS 服務緊密整合。工程師會考慮架構的各個層面,例如目標資源的容量和運作狀態。Shield 工程師會持續監控DDoS緩解系統的效能和效能,並在發現或預期新威脅時能夠快速回應。
您可以建構應用程式來擴展,以回應流量或負載增加,以協助確保應用程式不受較小的請求洪水影響。如果您使用 Shield Advanced 來保護您的資源,您會收到雲端帳單中因DDoS攻擊而可能發生的意外增加的涵蓋範圍。
基礎設施緩解措施
對於基礎設施層攻擊, AWS Shield DDoS緩解系統存在於 AWS 網路邊界和 AWS 邊緣位置。整個 AWS 基礎設施中多個層級的安全控制項的放置可為您的雲端應用程式提供 defense-in-depth。
Shield 會在從網際網路進入的所有點維護DDoS緩解系統。當 Shield 偵測到DDoS攻擊時,它會針對每個傳入點,透過相同位置的DDoS緩解系統重新路由流量。這不會引入任何可觀測的額外延遲,並在所有 AWS 區域和所有邊緣位置提供超過 TeraBits 每秒 100 (Tbps) 的緩解容量。Shield 保護您的資源可用性,而不會將流量重新路由至外部或遠端清理中心,這可能會增加延遲。
-
在 AWS 網路邊界,對於任何 AWS 服務或資源,DDoS緩解系統可緩解來自網際網路的基礎設施層攻擊。當 Shield 偵測或 Shield Response Team () 上的工程師發出訊號時,系統會執行其緩解措施SRT。
-
在 AWS 邊緣位置,DDoS緩解系統會持續檢查轉送至 Amazon CloudFront 分佈和 Amazon Route 53 託管區域的每個封包,無論其來源為何。如有需要,系統會套用專為 Web 和DNS流量設計的緩解措施。使用 Amazon CloudFront 和 Amazon Route 53 來保護 Web 應用程式的額外好處是,無需 Shield 偵測的訊號,就能立即緩解DDoS攻擊。
應用程式層緩解措施
Shield Advanced 為已啟用 Shield Advanced 保護的 Amazon CloudFront 分佈和 Application Load Balancer 提供 Web 應用程式層緩解措施。當您啟用保護時,您可以將 AWS WAF Web ACL與 資源建立關聯,以啟用 Web 應用程式層偵測。此外,您可以選擇啟用自動應用程式層緩解功能,指示 Shield Advanced 在DDoS攻擊期間為您管理保護。
Shield 僅針對您已啟用 Shield Advanced 和自動應用程式層緩解之資源的應用程式層攻擊提供自訂緩解措施。透過自動緩解,Shield Advanced 會強制執行已知DDoS來源請求的 AWS WAF 速率限制,並自動新增和管理自訂 AWS WAF 保護,以回應偵測到的DDoS攻擊。如需此類型之緩解措施的詳細資訊,請參閱 Shield Advanced 如何管理自動緩解。
無論是您ACL新增還是 Shield Advanced 自動應用程式層緩解功能新增的速率型規則,都可以在攻擊達到可偵測層級之前緩解攻擊。如需偵測的詳細資訊,請參閱 應用程式層威脅的 Shield Advanced 偵測邏輯 (第 7 層)。
主題
