**推出 的新主控台體驗 AWS WAF**

您現在可以使用更新後的體驗，在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊，請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在 Shield Advanced 中檢視基礎設施層 （第 3 層或第 4 層） 事件詳細資訊
<a name="ddos-event-details-infrastructure-layer"></a>

您可以在 主控台頁面底部查看有關基礎設施層事件偵測、緩解和最大貢獻者的詳細資訊。本節可以包含合法和可能不需要的流量的混合，並可能代表傳送到受保護資源的流量，以及 Shield 緩解措施封鎖的流量。

## 偵測和緩解
<a name="ddos-event-details-infrastructure-layer-detection-mitigation"></a>

對於基礎設施層 （第 3 層或第 4 層） 事件，**偵測和緩解**索引標籤會顯示以取樣網路流程為基礎的偵測指標，以及以緩解系統觀察到的流量為基礎的緩解指標。緩解指標是更精確地測量傳入資源的流量。

Shield 會自動為受保護的資源類型 Elastic IP (EIP)、Classic Load Balancer (CLB)、Application Load Balancer (ALB) 和 AWS Global Accelerator 標準加速器建立緩解措施。EIP 地址和 AWS Global Accelerator 標準加速器的緩解指標指出傳遞和捨棄的封包數量。

下列螢幕擷取畫面顯示基礎設施層事件的範例**偵測和緩解**索引標籤。

![網路事件的偵測和緩解圖表顯示偵測指標中 SYN 洪水和封包洪水流量增加，與緩解指標中幾秒鐘後捨棄流量的緩解增加相符。在大約三十秒的緩解措施增加之後，流量洪水會停止。](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/images/shield-network-event-detection-mitigation.png)


在 Shield 放置緩解之前隱藏的事件流量不會在緩解指標中表示。這可能會導致偵測圖表中顯示的流量與緩解圖表中顯示的傳遞和捨棄指標之間的差異。

## 主要貢獻因子
<a name="ddos-event-details-infrastructure-layer-top-contributors"></a>

基礎設施層事件的前**貢獻者**索引標籤列出多個流量維度上最多 100 名前貢獻者的指標。詳細資訊包含任何維度的網路層屬性，其中至少可以識別五個重要的流量來源。流量來源的範例包括來源 IP 和來源 ASN。

下列螢幕擷取畫面顯示基礎設施層事件的**熱門參與者**索引標籤範例。

![網路事件的主要參與者索引標籤會顯示對事件貢獻最多的流量類別。在此情況下，類別包括依通訊協定區分的磁碟區、依通訊協定和目的地連接埠區分的磁碟區、依通訊協定和來源 ASN 區分的磁碟區，以及依 TCP 旗標區分的磁碟區。](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/images/shield-network-event-top-contributors.png)


貢獻者指標是根據合法和潛在不需要流量的取樣網路流程。較大的磁碟區事件和流量來源未高度分佈的事件，更有可能具有可識別的主要參與者。顯著分佈的攻擊可能具有任意數量的來源，因此很難識別攻擊的主要原因。如果 Shield 未識別特定指標或類別的任何重要參與者，則會將資料顯示為無法使用。

在基礎設施層 DDoS 攻擊中，流量來源可能會被欺騙或反映。詐騙來源由攻擊者刻意偽造。反射來源是偵測到流量的真實來源，但不是攻擊的願意參與者。例如，攻擊者可能會透過反映對網際網路上通常合法的服務的攻擊，產生大量、擴增的流量到目標。在這種情況下，來源資訊在不是攻擊的實際來源時可能有效。這些因素可能會限制根據封包標頭封鎖來源的緩解技術可行性。