1.DoS攻擊 V.S. DDoS攻擊
AWS Shield 是一種受管的分散式阻斷服務攻擊 (DDoS) 保護服務,所以在正式介紹前,像讓大家任何什麼是DDoS攻擊,DoS攻擊又是什麼吧。
DoS攻擊全名為阻斷服務攻擊,是一個網路攻擊的手法,攻擊者會利用大量的網路流量來癱瘓合法使用者的網站,通常是一個攻擊者攻擊一個目標。
DDoS攻擊全名為分散式阻斷服務攻擊,也是一個網路攻擊的手法,與DoS攻擊不同的是,攻擊者會先去侵入其他人的電腦一起去攻擊合法使用者的網站,而那些被侵入的電腦通稱為「殭屍網路(botnet)」,所以DDoS就是多個攻擊者(可能來自世界各地)攻擊一個目標,
而不管是哪個攻擊,通常攻擊者會鎖定與該網站相關的通訊(例如與網站有連結的資料庫),這稱為應用程式層,因為應用程式層平常並不會有太大的流量,所以在外部流量及資料庫中通常還會添加Web應用程式防火牆(簡稱WAF),在外部流量流入前就予以封鎖,不過這又會產生以下問題:設定過程很複雜,通常要重新架構整個應用程式、可能會遇到因為可擴展性低所以頻寬不足的問題、發生問題時需要手動排除、添加WAF會延遲解析並增加網路延遲而且成本也很高,這時AWS Shield 就誕生了。
AWS Shield分成AWS Shield Standard 和 AWS Shield Advanced。前者為標準版本,任何一位AWS使用者都可以免費使用,後者為進階版本,只要付一點錢就可以全年無休使用 DDoS 應變小組,並享受額外容量來防範大型攻擊。
2.AWS Shield Standard功能
3.AWS Shield Advanced功能
AWS Shield Advanced除了AWS Shield Standard有的功能外,還有其他更進階的功能:
專業支援
AWS Shield Advanced可全天候使用 AWS DDoS 應變小組 (名為 DRT) 服務,DRT會協助企業找出問題的根本原因,並套用緩解措施,也會進行攻擊後分析。
進階降低攻擊功能
AWS Shield Advanced提供進階的路由技術來提供額外容量,以抵禦大型 DDoS 攻擊,並且可以免費使用AWS WAF。
進階通知
AWS Shield Advanced透過Amazon CloudWatch 即時的通知,以及主控台上的詳細診斷資訊,可完全看清 DDoS 攻擊。
進階且永遠啟用的監控
AWS Shield Advanced可針對EC2、ELB、Amazon CloudFront或Route53提供永久且更高水準的攻擊防護。
費用保護
AWS Shield Advanced可享有「DDoS擴展費用保護」,意思就是說如果第四點的那些服務因為受到攻擊而造成流量暴增,由AWS來吸收成本。
4.考前重點大補帖
⦁ 阻斷服務攻擊(DoS)是一個攻擊者攻擊一個目標。
⦁ 分散式阻斷服務攻擊(DDoS) 是多個攻擊者攻擊一個目標。
⦁ AWS Shield 是一種受管的分散式阻斷服務攻擊 (DDoS) 保護服務,可保護 AWS 上執行的應用程式不受攻擊。
⦁ 攻擊者通常會攻擊應用程式層。
⦁ AWS Shield 提供不中斷的偵測和自動的內嵌緩解功能。
⦁ AWS Shield 不用聯絡 AWS Support 也能獲得 DDoS 保護。
⦁ AWS Shield 提供無縫整合與部署。
⦁ AWS Shield分成AWS Shield Standard (標準版本)和 AWS Shield Advanced(進階版本)
⦁ AWS Shield Advanced可全天候使用 AWS DDoS 應變小組 (DRT) 。
⦁ AWS Shield Advanced享有DDoS擴展費用保護。
⦁ AWS Shield Advanced可享有撰寫自訂規則的彈性,以緩解應用程式層的複雜攻擊,
⦁ AWS Shield Standard可透過使用AWS WAF撰寫規則來緩解應用程式層攻擊(按需付費),AWS Shield Advanced則免費。
⦁ AWS Shield的標頭驗證和依優先順序設定的流量管制等各種技術會自動緩解攻擊。
iThome鐵人賽
看影片追技術