

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Técnicas de mitigação
<a name="mitigation-techniques"></a>

 Algumas formas de DDoS mitigação são incluídas automaticamente nos serviços. AWS DDoSa resiliência pode ser aprimorada ainda mais usando uma AWS arquitetura com serviços específicos, abordados nas seções a seguir, e implementando práticas recomendadas adicionais para cada parte do fluxo de rede entre os usuários e seu aplicativo. 

 Você pode usar AWS serviços que operam em pontos de presença, como Amazon CloudFront, AWS Global Accelerator e Amazon Route 53 para criar uma proteção de disponibilidade abrangente contra todos os ataques conhecidos na camada de infraestrutura. Esses serviços fazem parte da [AWS Global Edge Network](https://aws.amazon.com/products/networking/edge-networking/) e podem melhorar a DDoS resiliência do seu aplicativo ao atender a qualquer tipo de tráfego de aplicativo a partir de pontos de presença distribuídos ao redor do mundo. Você pode executar seu aplicativo em qualquer Região da AWS um e usar esses serviços para proteger a disponibilidade do aplicativo e otimizar o desempenho do seu aplicativo para usuários finais legítimos. 

 Os benefícios de usar o Amazon CloudFront, o Global Accelerator e o Amazon Route 53 incluem: 
+  Acesso à internet e capacidade de DDoS mitigação em toda a AWS Global Edge Network. Isso é útil para mitigar ataques volumétricos maiores, que podem atingir a escala de terabits. 
+  AWS Shield DDoSos sistemas de mitigação são integrados aos serviços de AWS ponta, reduzindo time-to-mitigate de minutos para menos de um segundo. 
+  A mitigação de SYN inundação sem estado verifica as conexões de entrada usando SYN cookies antes de passá-las para o serviço protegido. Isso garante que somente conexões válidas cheguem ao seu aplicativo e, ao mesmo tempo, proteja seus usuários finais legítimos contra quedas de falsos positivos. 
+  Sistemas automáticos de engenharia de tráfego que dispersam ou isolam o impacto de grandes ataques volumétricosDDoS. Todos esses serviços isolam os ataques na origem antes que eles cheguem à sua origem, o que significa menos impacto nos sistemas protegidos por esses serviços. 
+  A defesa da camada de aplicativos, CloudFront quando combinada com [AWS WAF](https://aws.amazon.com/waf/)isso, não exige a alteração da arquitetura atual do aplicativo (por exemplo, em um data center Região da AWS ou local). 

 Não há cobrança pela transferência de dados de entrada AWS e você não paga pelo tráfego de DDoS ataque que é mitigado por. AWS Shield O diagrama de arquitetura a seguir inclui os serviços da AWS Global Edge Network. 

![Diagrama mostrando uma DDoS arquitetura de referência resiliente](http://docs.aws.amazon.com/pt_br/whitepapers/latest/aws-best-practices-ddos-resiliency/images/ddos-resilient-ref-arch.png)


 Essa arquitetura inclui vários AWS serviços que podem ajudá-lo a melhorar a resiliência do seu aplicativo web contra DDoS ataques. A tabela a seguir fornece um resumo desses serviços e dos recursos que eles podem fornecer. AWS marcou cada serviço com um indicador de melhores práticas (BP1,BP2) para facilitar a referência neste documento. Por exemplo, uma próxima seção discute os recursos fornecidos pela Amazon CloudFront e pelo Global Accelerator que incluem o indicador de melhores práticas. BP1 

 *Tabela 2 - Resumo das melhores práticas* 


<table>
<thead>
  <tr><th> </th><th colspan="3"> AWS Edge</th><th colspan="3">Região da AWS </th></tr>
</thead>
<tbody>
  <tr><td> </td><td> Usando a Amazon CloudFront (BP1) com AWS WAF (BP2) </td><td> Usando o Global Accelerator () BP1 </td><td> Usando o Amazon Route 53 (BP3) </td><td> Usando o Elastic Load Balancing (BP6) com AWS WAF () BP2 </td><td> Usando grupos de segurança e rede ACLs na Amazon VPC (BP5) </td><td> Usando o [Amazon Elastic Compute Cloud (AmazonEC2) Auto BP7 Scaling](https://aws.amazon.com/pm/ec2/) ()</td></tr>
  <tr><td> Mitigação de ataques na camada 3 (por exemplo, UDP reflexão) </td><td> ✔ </td><td> ✔ </td><td> ✔ </td><td> ✔ </td><td> ✔ </td><td> ✔ </td></tr>
  <tr><td> Mitigação de ataques de camada 4 (por exemplo, SYN inundação) </td><td> ✔ </td><td> ✔ </td><td> ✔ </td><td> ✔ </td><td> </td><td> </td></tr>
  <tr><td> Mitigação de ataques na camada 6 (por exemploTLS) </td><td> ✔ </td><td> ✔ </td><td> ✔ </td><td> ✔ </td><td> </td><td> </td></tr>
  <tr><td> Reduza a superfície de ataque </td><td> ✔ </td><td> ✔ </td><td> ✔ </td><td> ✔ </td><td> ✔ </td><td> </td></tr>
  <tr><td> Dimensione para absorver o tráfego da camada de aplicação </td><td> ✔ </td><td> ✔ </td><td> ✔ </td><td> ✔ </td><td> ✔ </td><td> ✔ </td></tr>
  <tr><td> Mitigação de ataques na camada 7 (camada de aplicação) </td><td> ✔ </td><td> ✔(\*) </td><td> ✔ </td><td> ✔ </td><td> ✔(\*) </td><td> ✔(\*) </td></tr>
  <tr><td> Isolamento geográfico e dispersão do excesso de tráfego e ataques maiores DDoS </td><td> ✔ </td><td> ✔ </td><td> ✔ </td><td> </td><td> </td><td> </td></tr>
</tbody>
</table>


 ✔ (\*): Se usado AWS WAF com o [Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/introduction.html)

 Outra forma de melhorar sua prontidão para responder e mitigar DDoS ataques é assinando. AWS Shield Advanced Os benefícios do uso AWS Shield Advanced incluem: 
+ Acesso ao suporte especializado 24 horas por dia, 7 dias por semana, da [Equipe de AWS Shield Resposta](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-srt-support.html) (AWS SRT) para assistência na mitigação de DDoS ataques que afetam a disponibilidade dos aplicativos, incluindo um recurso opcional de engajamento proativo 
+ Limites de detecção confidenciais que direcionam o tráfego para o sistema de DDoS mitigação mais cedo e podem melhorar os ataques time-to-mitigate contra a Amazon EC2 (incluindo o Elastic Load Balancer) ou o Network Load Balancer, quando usados com um endereço IP elástico 
+ Detecção personalizada de camada 7 com base nos padrões de tráfego básicos do seu aplicativo quando usado com AWS WAF 
+ DDoSMitigação automática da camada de aplicativos, na qual o Shield Advanced responde aos DDoS ataques detectados criando, avaliando e implantando regras personalizadas AWS WAF 
+ Acesso sem AWS WAF custo adicional para a mitigação de DDoS ataques na camada de aplicação (quando usado com a Amazon CloudFront ou o Application Load Balancer) 
+ Gerenciamento centralizado de políticas de segurança sem [AWS Firewall Manager](https://aws.amazon.com/firewall-manager/)custo adicional. 
+ Proteção de custos que permite que você solicite um reembolso limitado dos custos relacionados à escalabilidade resultantes de um DDoS ataque. 
+ Contrato de nível de serviço aprimorado que é específico para AWS Shield Advanced os clientes. 
+ Grupos de proteção que permitem agrupar recursos, fornecendo uma forma de autoatendimento de personalizar o escopo de detecção e mitigação do seu aplicativo, tratando vários recursos como uma única unidade. Para obter informações sobre grupos de proteção, consulte os [grupos de proteção [Shield](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-overview.html#ddos-advanced-protection-groups) Advanced.](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-overview.html#ddos-advanced-protection-groups) 
+ DDoSvisibilidade do ataque usando as [Console de gerenciamento da AWS CloudWatch ](https://aws.amazon.com/console/)[métricas API](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html) e [alarmes](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) da Amazon e, 

 Esse serviço opcional de DDoS mitigação ajuda a proteger aplicativos hospedados em qualquer um. Região da AWS O serviço está disponível globalmente para CloudFront Route 53 e Global Accelerator. [Regionalmente, você pode proteger os endereços Application Load Balancer, Classic Load Balancer e Elastic IP, o que permite proteger instâncias do Network Load [Balancer () ou da Amazon](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/introduction.html). NLBs EC2](https://aws.amazon.com/ec2/) 

 Para obter uma lista completa de AWS Shield Advanced recursos e obter mais informações sobre AWS Shield, consulte [Como AWS Shield funciona](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-overview.html). 