AWS Shield DDoS 緩解功能的清單

封包驗證 – 這可確保每個檢查的封包符合預期的結構，且對其通訊協定有效。支援的通訊協定驗證包括 IP、TCP （包括標頭和選項）、UDP、ICMP、DNS 和 NTP。

存取控制清單 (ACLs) 和形狀器 – ACL 會根據特定屬性評估流量，並捨棄相符的流量或將其映射至形狀器。形狀器會限制相符流量的封包速率，捨棄多餘的封包，以包含到達目的地的磁碟區。 AWS Shield 偵測和 Shield 回應團隊 (SRT) 工程師可以為預期流量提供專用速率配置，並為具有符合已知 DDoS 攻擊向量屬性的流量提供更嚴格的速率配置。ACL 可以比對的屬性包括封包承載中的連接埠、通訊協定、TCP 旗標、目的地地址、來源國家/地區和任意模式。

可疑評分 – 這會利用 Shield 對預期流量的了解，將分數套用至每個封包。更緊密遵守已知良好流量模式的封包，會獲得較低的可疑分數。觀察已知的不良流量屬性可能會增加封包的可疑分數。需要對限制封包進行評分時，Shield 會先捨棄可疑分數較高的封包。這有助於 Shield 緩解已知和零日 DDoS 攻擊，同時避免誤報。

TCP SYN 代理 — 這透過傳送 TCP SYN Cookie 來挑戰新連線，然後允許它們傳遞到受保護的服務，從而提供對 TCP SYN 洪水的保護。Shield DDoS 緩解提供的 TCP SYN 代理是無狀態的，這允許它緩解最大的已知 TCP SYN 洪水攻擊，而不會達到狀態耗盡。這可透過與 AWS 服務整合來傳遞連線狀態，而不是在用戶端和受保護的服務之間維護連續代理來實現。TCP SYN 代理目前可在 Amazon CloudFront 和 Amazon Route 53 上使用。

速率分佈 – 這會根據流量的輸入模式，持續調整每個位置的形狀器值，面向受保護的資源。這可防止可能無法平均進入 AWS 網路的客戶流量速率限制。