如何使用 Shield Standard 防御 DDoS 攻击?

2 分钟阅读
0

我想使用 AWS Shield Standard 保护我的应用程序免受分布式拒绝服务(DDoS)攻击。

简短描述

AWS Shield Standard 是一种托管威胁防护服务,可保护您的应用程序的边界。Shield Standard 提供自动威胁防护,无需额外付费。您可以通过 Shield Standard,使用 Amazon CloudFront、AWS Global Accelerator 和 Amazon Route 53 保护 AWS 网络边缘的应用程序。这些 AWS 服务可以抵御所有已知的网络和传输层攻击。要防御第 7 层 DDoS 攻击,您可以使用 AWS WAF

要使用 Shield Standard 保护您的应用程序免受 DDoS 攻击,最佳实践是遵循以下适用于您的应用程序架构的准则:

  • 减少攻击面
  • 做好扩展以及缓解攻击的准备
  • 保护已泄露的资源
  • 监控应用程序行为
  • 创建应对攻击的计划

解决方法

减少攻击面

有关详细信息,请参阅减少攻击面

做好扩展以及缓解 DDoS 攻击的准备

有关详细信息,请参阅缓解技术

保护已泄露的资源

  • 在阻止模式下使用基于速率的规则配置 AWS WAF,以防御请求洪水攻击。
    **注意:**您必须将 CloudFront、Amazon API Gateway、应用程序负载均衡器或 AWS AppSync 配置为使用 AWS WAF。
  • 使用 CloudFront 地理限制根据您的需要阻止来自某些国家/地区的用户访问您的内容。
  • 使用 Amazon API Gateway REST API 对每种方法使用突增限制,以保护您的 API 端点不会被请求淹没。
  • 对您的 Amazon Simple Storage Service(Amazon S3)桶使用来源访问身份(OAI)
  • 将 API 密钥设置为每个传入请求的 X-API-Key 标头,以保护您的 Amazon API Gateway 免遭直接访问。

监控应用程序行为

有关详细信息,请参阅 AWS 应用程序自动扩缩监控

创建应对 DDoS 攻击的计划

  • 提前制定运行手册,以便您可以高效、及时地应对 DDoS 攻击。有关创建运行手册的指导,请参阅 AWS 安全事件响应指南。您也可以查看此示例运行手册
  • 在发生造成影响的 DDoS 攻击期间,使用 aws-lambda-shield-engagement 脚本快速向 AWS Support 记录票证。
  • Shield Standard 可防止 OSI 模型第 3 层和第 4 层发生基于基础设施的 DDoS 攻击。要防御第 7 层 DDoS 攻击,您可以使用 AWS WAF

有关如何保护您的应用程序免受 DDoS 攻击的详细信息,请参阅 AWS 的 DDoS 弹性最佳实践

相关信息

如何使用 CloudFront 和 Route 53 帮助保护动态 Web 应用程序免受 DDoS 攻击

如何使用 Route 53 和外部内容交付网络保护您的 Web 应用程序免受 DDoS 攻击

如何使用 AWS Global Accelerator 和 AWS Shield Advanced 保护自管理 DNS 服务免受 DDoS 攻击

测试和调整您的 AWS WAF 保护措施

如何模拟 DDoS 攻击来测试 Shield Advanced?

AWS 官方
AWS 官方已更新 1 年前