本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Shield CloudFront 和 Route 53 的缓解逻辑
Shield DDoS 缓解措施会持续检查 Route 53 的 CloudFront 流量。这些服务在全球分布的Amazon边缘站点网络上运行,使您可以广泛访问Shield的DDoS缓解能力,并从离最终用户更近的基础设施中交付应用程序。
-
CloudFront— Shield DDoS 缓解措施仅允许对 Web 应用程序有效的流量传递到服务。这可以自动防范许多常见的 DDoS 向量,例如 UDP 反射攻击。
CloudFront 保持与您的应用程序源站的持续连接,通过与 Shield TCP SYN 代理功能的集成自动缓解 TCP SYN 洪水,传输层安全 (TLS) 在边缘终止。这些组合功能可确保您的应用程序源仅接收格式正确的 Web 请求,并保护其免受低层 DDoS 攻击、连接泛洪和 TLS 滥用。
CloudFront 结合使用 DNS 流量方向和任播路由。这些技术通过缓解靠近源头的攻击、提供故障隔离以及确保访问容量来缓解已知规模最大的攻击,从而提高应用程序的弹性。
-
Route 53 — Shield 缓解措施仅允许有效的 DNS 请求到达服务。Shield 使用可疑评分来缓解 DNS 查询泛滥,该评分会优先考虑已知的正常查询,并取消包含可疑或已知 DDoS 攻击属性的查询的优先级。
Route 53 使用随机分片,为 IPv4 和 IPv6 的每个托管区域提供一组唯一的四个解析器 IP 地址。每个 IP 地址对应 Route 53 位置的不同子集。每个位置子集都由权威的 DNS 服务器组成,这些服务器仅部分与任何其他子集中的基础设施重叠。这样可以确保如果用户查询因任何原因失败,则重试时将成功提供查询。
Route 53 使用任播路由,根据网络邻近度将 DNS 查询定向到最近的节点。Anycast 还将 DDoS 流量分散到许多边缘站点,从而防止攻击集中在单个位置。
除了缓解速度外, CloudFront Route 53还提供了对Shield全球分布式容量的广泛接入。要利用这些功能,请使用这些服务作为动态或静态 Web 应用程序的入口点。
要了解有关使用 CloudFront 和 Route 53 保护 Web 应用程序的更多信息,请参阅如何使用亚马逊 CloudFront 和亚马逊 Route 53 帮助保护动态 Web 应用程序免受 DDoS 攻击