DDoS AWS Shield 緩和機能のリスト

パケット検証 — これにより、検査されたすべてのパケットが期待される構造に適合し、そのプロトコルに対して有効であることが保証されます。サポートされているプロトコル検証には、IP、TCP（ヘッダーとオプションを含む）、UDP、ICMP、DNS、および NTP が含まれます。

アクセスコントロールリスト (ACL) と Shaper — ACL は特定の属性に対してトラフィックを評価し、一致するトラフィックをドロップするか、シェーパーにマッピングします。シェーパーは、一致するトラフィックのパケットレートを制限し、宛先に到達するボリュームを含むために余分なパケットをドロップします。AWS Shield 検出および Shield Response Team (SRT) エンジニアは、既知の DDoS 攻撃ベクトルに一致する属性を使用して、予想されるトラフィックへの専用のレート割り当てと、トラフィックへのより制限的なレート割り当てを提供できます。ACL が照合できる属性には、パケットペイロード内のポート、プロトコル、TCP フラグ、宛先アドレス、送信元の国、および任意のパターンが含まれます。

疑惑のスコアリング — これにより、Shield が期待するトラフィックに関する知識を使用して、すべてのパケットにスコアを適用されます。既知の正常なトラフィックのパターンに近いパケットには、より低い疑惑スコアが割り当てられます。既知の不良トラフィック属性を観察すると、パケットの疑惑スコアが高まる可能性があります。レート制限パケットが必要な場合、Shield は疑惑スコアが高いパケットからドロップします。これは、Shield が誤検知を回避しながら、既知の DDoS 攻撃とゼロデイ攻撃の両方を軽減するのに役立ちます。

TCP SYN プロキシ — これにより、TCP SYN Cookie が保護されたサービスに渡すのを許可する前に新しい接続に挑戦するために TCP SYN Cookie を送信することで、TCP SYN フラッドに対する保護が提供されます。Shield DDoS 緩和によって提供される TCP SYN プロキシはステートレスであり、ステートを使い果たすことなく、既知の最大の TCP SYN フラッド攻撃を軽減できます。これは、AWS サービスとの統合によって達成され、クライアントと保護されたサービス間の連続プロキシを維持するのではなく、接続状態を引き渡します。TCP SYN プロキシは、現在 Amazon CloudFront と Amazon Route 53 で利用できます。

レートの分布 — これにより、保護されたリソースへのトラフィックの入力パターンに基づいて、ロケーションシェーパーの値を継続的に調整します。これにより、AWS ネットワークに均等に入らない可能性のあるカスタマートラフィックのレート制限が防止されます。