使用Shield 响应小组 (SRT) 配置自定义缓解措施 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用Shield 响应小组 (SRT) 配置自定义缓解措施

对于您的弹性 IP (EIP) 和Amazon Global Accelerator标准加速器,您可以与Shield 响应团队 (SRT) 合作配置自定义缓解措施。如果您知道在实施缓解措施时应强制执行的特定逻辑,这将很有用。例如,您可能希望仅允许来自某些国家/地区的流量、强制执行特定的速率限制、配置可选验证、禁止分段或仅允许与数据包有效载荷中特定模式相匹配的流量。

常见的自定义缓解措施包括:

  • 模式匹配-如果您运行与客户端应用程序交互的服务,则可以选择根据这些应用程序特有的已知模式进行匹配。例如,您可能运营一项游戏或通信服务,要求最终用户安装您分发的特定软件。你可以在应用程序发送到你的服务的每个数据包中加入 “魔法数字”。您最多可以匹配 128 字节(单独或连续)的非分段 TCP 或 UDP 数据包负载和标头。匹配可以用十六进制表示法表示为距离数据包有效载荷开头的特定偏移量或已知值之后的动态偏移量。例如,缓解措施可以查找该字节,0x01然后预期0x12345678为接下来的四个字节。

  • DNS 专用 — 如果您使用全球加速器或 Amazon Elastic Compute Cloud (Amazon EC2) 等服务运营自己的权威 DNS 服务,则可以请求自定义缓解措施来验证数据包以确保它们是有效的 DNS 查询,并应用可疑评分来评估特定于 DNS 流量的属性。

要询问有关与 SRT 合作构建自定义缓解措施的问题,请在下方创建支持案例Amazon Shield。要了解有关创建Amazon Web Services Support案例的更多信息,请参阅入门Amazon Web Services Support