DDoS 攻击示例 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

DDoS 攻击示例

Amazon Shield Advanced 针对多种类型的攻击提供大范围的保护。

以下列表描述了一些常见的攻击类型:

用户数据报协议 (UDP) 反射攻击

在 UDP 反射攻击中,攻击者可以伪造请求源并使用 UDP 从服务器获得大量响应。流向受欺骗、受攻击的 IP 地址的额外网络流量可能会减慢目标服务器的速度,并阻止合法的最终用户访问所需的资源。

TCP SYN 泛载

TCP SYN 泛洪攻击的目的是使连接处于半开状态,从而耗尽系统的可用资源。当用户连接到 Web 服务器等 TCP 服务时,客户端会发送 TCP SYN 数据包。服务器将返回确认,客户端将返回自己的确认,完成三次握手。在 TCP SYN 泛洪中,永远不会返回第三条确认消息,服务器只能等待响应。这会使其他用户无法连接到服务器。

DNS 查询泛洪

在 DNS 查询洪水中,攻击者使用多个 DNS 查询来耗尽 DNS 服务器的资源。 Amazon Shield Advanced可以帮助防御 Route 53 DNS 服务器上的 DNS 查询泛洪攻击。

HTTP 泛洪/缓存清除 (第 7 层) 攻击

通过 HTTP 洪水(包括GETPOST洪水),攻击者发送多个 HTTP 请求,这些请求似乎来自 Web 应用程序的真实用户。缓存清除攻击是一种 HTTP 泛洪,它在 HTTP 请求的查询字符串中使用禁止使用的位于边缘的缓存内容的变体,并强制从源 Web 服务器提供内容,从而导致对源 Web 服务器造成附加的、可能具有破坏性的压力。