防范

数据包验证-这可确保每个被检查的数据包都符合预期的结构，并且对其协议有效。支持的协议验证包括 IP、TCP（包括标头和选项）、UDP、ICMP、DNS 和 NTP。

访问控制列表 (ACL) 和整形器 — ACL 根据特定属性评估流量，然后丢弃匹配的流量或将其映射到整形器。整形器限制匹配流量的数据包速率，丢弃多余的数据包以控制到达目的地的流量。 Amazon Shield检测和Shield 响应小组 (SRT) 工程师可以为预期流量提供专用的速率分配，并为具有与已知 DDoS 攻击向量匹配的属性的流量提供更严格的速率分配。ACL 可以匹配的属性包括端口、协议、TCP 标志、目标地址、源国家/地区以及数据包负载中的任意模式。

怀疑分数 — 利用Shield对预期流量的了解来对每个数据包进行分数。对符合已知正常流量模式的数据包的怀疑分数较低。观察已知的不良流量属性可能会增加数据包的怀疑分数。当需要对数据包进行速率限制时，Shield 会首先丢弃怀疑分数较高的数据包。这有助于 Shield 缓解已知和零日 DDoS 攻击，同时避免误报。

TCP SYN 代理 — 这通过发送 TCP SYN cookie 来挑战新连接，然后再允许它们传递给受保护的服务，从而防御 TCP SYN 泛洪攻击。Shield DDoS 缓解提供的 TCP SYN 代理是无状态的，这使它能够在不耗尽状态的情况下缓解已知最大的 TCP SYN 洪水攻击。这是通过与Amazon服务集成以传递连接状态而不是在客户端和受保护服务之间维护连续代理来实现的。TCP SYN 代理目前在亚马逊 CloudFront 和亚马逊 Route 53 上可用。

速率分布 — 这会根据流向受保护资源的流入模式持续调整每个位置的整形器值。这样可以防止对可能无法均匀进入Amazon网络的客户流量进行速率限制。