Lista de las características de mitigación de DDoS de AWS Shield - AWS WAF, AWS Firewall Manager, AWS Shield Advanced y director de seguridad de red AWS Shield

Presentamos una nueva experiencia de consola para AWS WAF

Ahora puede usar la experiencia actualizada para acceder a las funciones de AWS WAF desde cualquier parte de la consola. Para obtener más información, consulta Trabajo con la experiencia de consola actualizada.

Lista de las características de mitigación de DDoS de AWS Shield

Las principales características de la mitigación de AWS Shield DDoS son las siguientes:

  • Validación de paquetes: esto garantiza que cada paquete inspeccionado se ajuste a la estructura esperada y sea válido para su protocolo. Las validaciones de protocolo compatibles incluyen IP, TCP (incluidos el encabezado y las opciones), UDP, ICMP, DNS y NTP.

  • Listas de control de acceso (ACL) y modeladores: una ACL evalúa el tráfico en función de atributos específicos y descarta el tráfico coincidente o lo asigna a un modelador. El modelador limita la tasa de paquetes para el tráfico coincidente y elimina el exceso de paquetes para contener el volumen que llega al destino. Los ingenieros de detección de AWS Shield y el equipo de respuesta de Shield (SRT) pueden asignar tasas específicas al tráfico esperado y asignar tasas más restrictivas al tráfico con atributos que coincidan con los vectores de ataque DDoS conocidos. Los atributos que puede igualar una ACL incluyen el puerto, el protocolo, los indicadores TCP, la dirección de destino, el país de origen y los patrones arbitrarios de la carga útil del paquete.

  • Puntuación de sospecha: utiliza el conocimiento que Shield tiene sobre el tráfico esperado para aplicar una puntuación a cada paquete. A los paquetes que se ajustan más a los patrones de tráfico conocidos como seguros se les asigna una puntuación de sospecha más baja. La observación de los atributos de tráfico conocidos como maliciosos puede aumentar la puntuación de sospecha de un paquete. Cuando es necesario limitar la tasa de los paquetes, Shield descarta primero los paquetes con puntuaciones de sospecha más altas. Esto ayuda a Shield a mitigar los ataques DDoS conocidos y de día cero y, al mismo tiempo, evitar los falsos positivos.

  • Proxy TCP SYN: proporciona protección contra las inundaciones de TCP SYN al enviar cookies TCP SYN para desafiar las nuevas conexiones antes de permitir que pasen al servicio protegido. El proxy TCP SYN que proporciona Shield DDoS Mitigation no tiene estado, lo que le permite mitigar los mayores ataques de inundación TCP SYN conocidos sin agotar el estado. Esto se logra mediante la integración con los servicios de AWS para transferir el estado de la conexión en lugar de mantener un proxy continuo entre el cliente y el servicio protegido. El proxy TCP SYN está disponible actualmente en Amazon CloudFront y Amazon Route 53.

  • Distribución de tasa: ajusta continuamente los valores del modelador por ubicación según el patrón de entrada del tráfico hacia un recurso protegido. Esto evita que se limite la tasa del tráfico de clientes que podría no ingresar a la red AWS de manera uniforme.