本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Shield Advanced 度量
Shield Advanced 針對其保護的所有資源發佈 Amazon CloudWatch 偵測、緩解措施和主要貢獻者指標。這些指標可以為資源建立和設定 CloudWatch 儀表板和警示,從而提升您監視資源的能力。
Shield 進階主控台會顯示其記錄的許多指標摘要。如需相關資訊,請參閱使用 Shield Advanced 對DDoS事件的可見性。
如果您為應用程式層保護啟用自動應用程式層 DDoS 緩解功能,
量度報告位置
Shield Advanced 會us-east-1
針對下列項目報告美國東部 (維吉尼亞北部) 區域的量度:
全球服務 Amazon CloudFront 和 Amazon 路線 53.
-
保護群組。如需有關保護群組的資訊,請參閱將您的 AWS Shield Advanced 保護分組。
對於其他資源類型,「Shield 牌進階」會報告資源「區域」中的度量。
量度報告的時間
Shield A AWS dvanced CloudWatch 在 DDoS 事件期間向 Amazon 報告指標的頻率高於沒有事件正在進行的情況下。「Shield 牌進階」會在活動期間每分鐘報告一次指標,然後在活動結束後立即報告一次指標。
雖然沒有任何事件正在進行中,Shield Advanced 會在指派給資源的時間每天報告一次度量。此定期報告會保持量度處於作用中狀態,並可用於自訂 CloudWatch 警示和儀表板。
警報建議
我們建議您建立警報,以通知您需要注意的情況。作為起點,您可以為每個受保護的資源創建警報,該警報在DDoSDetected
檢測指標非零時報告。此指標中的非零值並不一定意味著 DDoS 攻擊正在進行中,但我們建議您在指標處於此狀態時仔細查看資源狀態。
對於請求洪水,我們建議您為複合檢查建立警示,這些檢查也會考慮應用程式健康狀況和 Web 要求數量等因素。您可以選擇對報告各種攻擊向量維度的流量的其他三個量度發出警報。通過考慮應用程序的容量並在流量接近應用程序限制時發出警報,您可以創建一組規則,根據需要通知您,而不會產生太多不必要的噪音。
偵測指標
Shield 進階提供命AWS/DDoSProtection
名空間中的度量和維度。
指標 | 描述 |
---|---|
DDoSDetected |
指出特定 Amazon Resource Name (ARN) 是否正遭遇 DDoS 事件。 此測量結果在事件期間的值非零。 |
DDoSAttackBitsPerSecond |
在特定 Amazon Resource Name (ARN) 的 DDoS 事件期間觀察到的位元組數。此指標僅適用於網路和傳輸層 (第 3 層和第 4 層) DDoS 事件。 此測量結果在事件期間的值非零。 單位:位元 |
DDoSAttackPacketsPerSecond |
在特定 Amazon Resource Name (ARN) 的 DDoS 事件期間觀察到的封包數量。此指標僅適用於網路和傳輸層 (第 3 層和第 4 層) DDoS 事件。 此測量結果在事件期間的值非零。 單位:封包數 |
DDoSAttackRequestsPerSecond |
在特定 Amazon Resource Name (ARN) 的 DDoS 事件期間觀察到的請求數量。本指標僅適用於 layer 3/4 的 DDoS 事件。本指標只會回報為最重大的 Layer 7 事件。 此測量結果在事件期間的值非零。 單位:請求 |
「Shield 牌進階」會在不包含其他維度的情況下DDoSDetected
張貼 其餘的偵測指AttackVector
標包括對應於攻擊類型的維度,從下列清單中:
-
ACKFlood
-
ChargenReflection
-
DNSReflection
-
GenericUDPReflection
-
MemcachedReflection
-
MSSQLReflection
-
NetBIOSReflection
-
NTPReflection
-
PortMapper
-
RequestFlood
-
RIPReflection
-
SNMPReflection
-
SSDPReflection
-
SYNFlood
-
UDPFragment
-
UDPTraffic
-
UDPReflection
緩解指標
Shield 牌進階在AWS/DDoSProtection
命名空間中提供量度和維度。
指標 | 描述 |
---|---|
VolumePacketsPerSecond |
針對偵測到的事件而部署的緩和措施捨棄或傳遞的每秒封包數目。 單位:封包數 |
維度 | 描述 |
---|---|
|
Amazon Resource Name (ARN) |
|
套用緩和措施的結果。可能的值為 |
頂級貢獻者指標
Shield 進階在AWS/DDoSProtection
命名空間中提供度量。
指標 | 描述 |
---|---|
VolumePacketsPerSecond |
頂尖貢獻者每秒的封包數目。 單位:封包數 |
VolumeBitsPerSecond |
頂尖貢獻者每秒的位元數。 單位:位 |
Shield Advanced 會根據特徵事件貢獻者的維度組合來張貼頂尖貢獻者量度。您可以針對任何主要貢獻者量度使用下列任何維度組合:
-
ResourceArn
,Protocol
-
ResourceArn
,Protocol
,SourcePort
-
ResourceArn
,Protocol
,DestinationPort
-
ResourceArn
,Protocol
,SourceIp
-
ResourceArn
,Protocol
,SourceAsn
-
ResourceArn
,TcpFlags
維度 | 描述 |
---|---|
|
Amazon 資源名稱(ARN)。 |
|
IP 通訊協定名稱, |
|
來源 TCP 或 UDP 連接埠。 |
|
目的地 TCP 或 UDP 連接埠。 |
|
來源 IP 位址。 |
|
來源自主系統編號 (ASN)。 |
|
TCP 封包中存在的旗標組合,以破折號 ( |