AWS Shield
常见的DDoS攻击类型
SYN Flood攻击:
- 描述:大量的半开TCP连接。
- 效果:消耗服务器资源,使其无法处理合法的连接请求。
UDP Flood攻击:
- 描述:大量的UDP请求。
- 效果:消耗带宽和服务器资源,导致服务不可用。
UDP反射攻击:
- 描述:攻击者伪造受害者服务器的IP地址作为UDP包的源地址,使受害者服务器接收到意外的响应。
- 效果:使受害者服务器不堪重负,导致服务中断。
DNS Flood攻击:
- 描述:通过大量请求淹没DNS服务器。
- 效果:使合法用户无法解析域名,从而无法访问网站。
Slow Loris攻击(第7层):
- 描述:大量HTTP连接被打开并维持很长时间。
- 效果:耗尽服务器的连接资源,使其无法处理新的合法请求。
这些是常见的DDoS攻击类型,各有其独特的攻击方法和效果,但最终目的是一样的:通过耗尽服务器的资源,使其无法正常为合法用户提供服务。
AWS Shield
Shield分为Standard和Advanced:
AWS Shield Standard(免费服务)
- 免费服务:自动为每个AWS客户激活。
- 保护范围:提供对
SYN/UDP Flood
、反射攻击以及其他第3层/第4层攻击的防护。
- 自动启用:自动启用于ELB、CloudFront和Route 53。
AWS Shield Advanced(付费服务)
- 付费服务:可选的DDoS缓解服务,每月$3,000。
- 保护范围:保护Amazon EC2、ELB、CloudFront、AWS Global Accelerator和Route 53免受更复杂的攻击。
- 24/7支持:AWS Shield响应团队(SRT)24h响应。SRT将帮助分析事件、识别根本原因并代表客户采取缓解措施。
- 高级攻击检测:SRT团队帮助识别第7层攻击/模式,并在WAF上部署Web ACL规则(客户需授予IAM角色给SRT团队)。
- 攻击取证报告:客户可以从SRT团队获得攻击取证报告。
- 费用保护:在因DDoS攻击导致计费激增的情况下,客户可以获得AWS Route 53、CloudFront、ELB和EC2的AWS credit。
AWS Shield提供了从基本到高级的多层防护,帮助客户保护其应用程序和服务免受各种类型的DDoS攻击。