Lista de atributos de mitigação de DDoS do AWS Shield - Administrador de segurança da rede do AWS WAF, AWS Firewall Manager, AWS Shield Advanced e AWS Shield

Apresentação de uma nova experiência de console para o AWS WAF

Agora você pode usar a experiência atualizada para acessar a funcionalidade do AWS WAF em qualquer lugar no console. Consulte mais detalhes em Trabalhar com a experiência atualizada do console.

Lista de atributos de mitigação de DDoS do AWS Shield

Os principais atributos de mitigação de DDoS do AWS Shield são os seguintes:

  • Validação de pacotes: isso garante que cada pacote inspecionado esteja em conformidade com uma estrutura esperada e seja válido para seu protocolo. As validações de protocolo suportadas incluem IP, TCP (incluindo cabeçalho e opções), UDP, ICMP, DNS e NTP.

  • Listas de controle de acesso (ACLs) e shapers: uma ACL avalia o tráfego em relação a atributos específicos e descarta o tráfego correspondente ou o mapeia para um shaper. O shaper limita a taxa de pacotes para o tráfego correspondente, descartando pacotes em excesso para conter o volume que chega ao destino. Os engenheiros de detecção do AWS Shield e do Shield Response Team (SRT) podem fornecer alocações de taxas dedicadas para o tráfego esperado e alocações de taxas mais restritivas para o tráfego com atributos que correspondem aos vetores de ataque de DDoS conhecidos. Os atributos que uma ACL pode combinar incluem porta, protocolo, sinalizadores TCP, endereço de destino, país de origem e padrões arbitrários na carga útil do pacote.

  • Pontuação de suspeita: usa o conhecimento que o Shield tem do tráfego esperado para aplicar uma pontuação a cada pacote. Pacotes que seguem mais de perto os padrões de tráfego em boas condições recebem uma pontuação de suspeita mais baixa. A observação de atributos conhecidos de tráfego incorreto pode aumentar a pontuação de suspeita de um pacote. Quando é necessário limitar a taxa de pacotes, o Shield descarta primeiro os pacotes com maior pontuação de suspeita. Isso ajuda o Shield a mitigar ataques de DDoS conhecidos e de dia zero, evitando falsos positivos.

  • Proxy TCP SYN: isso fornece proteção contra floods TCP SYN enviando cookies TCP SYN para desafiar novas conexões antes de permitir que elas passem para o serviço protegido. O proxy TCP SYN fornecido pela mitigação de DDoS do Shield não tem estado, o que permite mitigar os maiores ataques de flood TCP SYN conhecidos sem atingir a exaustão do estado. Isso é obtido por meio da integração com os serviços AWS para transferir o estado da conexão, em vez de manter um proxy contínuo entre o cliente e o serviço protegido. Atualmente, o proxy TCP SYN está disponível no Amazon CloudFront e no Amazon Route 53.

  • Distribuição de intervalos: isso ajusta continuamente os valores do shaper por local com base no padrão de entrada de tráfego em direção a um recurso protegido. Isso evita a limitação da taxa de tráfego de clientes que podem não entrar na rede AWS uniformemente.