iT邦幫忙

第 12 屆 iThome 鐵人賽

DAY 7
0

1.DoS攻擊 V.S. DDoS攻擊

AWS Shield 是一種受管的分散式阻斷服務攻擊 (DDoS) 保護服務,所以在正式介紹前,像讓大家任何什麼是DDoS攻擊,DoS攻擊又是什麼吧。

DoS攻擊全名為阻斷服務攻擊,是一個網路攻擊的手法,攻擊者會利用大量的網路流量來癱瘓合法使用者的網站,通常是一個攻擊者攻擊一個目標。

DDoS攻擊全名為分散式阻斷服務攻擊,也是一個網路攻擊的手法,與DoS攻擊不同的是,攻擊者會先去侵入其他人的電腦一起去攻擊合法使用者的網站,而那些被侵入的電腦通稱為「殭屍網路(botnet)」,所以DDoS就是多個攻擊者(可能來自世界各地)攻擊一個目標,

而不管是哪個攻擊,通常攻擊者會鎖定與該網站相關的通訊(例如與網站有連結的資料庫),這稱為應用程式層,因為應用程式層平常並不會有太大的流量,所以在外部流量及資料庫中通常還會添加Web應用程式防火牆(簡稱WAF),在外部流量流入前就予以封鎖,不過這又會產生以下問題:設定過程很複雜,通常要重新架構整個應用程式、可能會遇到因為可擴展性低所以頻寬不足的問題、發生問題時需要手動排除、添加WAF會延遲解析並增加網路延遲而且成本也很高,這時AWS Shield 就誕生了。

AWS Shield分成AWS Shield Standard 和 AWS Shield Advanced。前者為標準版本,任何一位AWS使用者都可以免費使用,後者為進階版本,只要付一點錢就可以全年無休使用 DDoS 應變小組,並享受額外容量來防範大型攻擊。

2.AWS Shield Standard功能

  1. 全面自動保護
    AWS Shield Standard會自動保護任何 AWS 區域中的任何 AWS 資源。
  2. 快速偵測
    AWS Shield Standard會永遠啟用的網路流量監控功能,並透過分析技術來即時偵測惡意流量。
  3. 降低攻擊功能
    AWS Shield Standard內建自動化緩解技術(標頭驗證和依優先順序設定的流量管制)可內嵌至應用程式,因此不會造成延遲。另外也可以用AWS WAF撰寫規則來緩解應用程式層受到的攻擊,只需按使用量付費。
  4. 自助服務
    使用AWS Shield Standard是自助的,不需要透過AWS的專家團隊協助(AWS Support),就可以獲得防禦 DDoS 攻擊的保護。

3.AWS Shield Advanced功能

AWS Shield Advanced除了AWS Shield Standard有的功能外,還有其他更進階的功能:

  1. 專業支援
    AWS Shield Advanced可全天候使用 AWS DDoS 應變小組 (名為 DRT) 服務,DRT會協助企業找出問題的根本原因,並套用緩解措施,也會進行攻擊後分析。

  2. 進階降低攻擊功能
    AWS Shield Advanced提供進階的路由技術來提供額外容量,以抵禦大型 DDoS 攻擊,並且可以免費使用AWS WAF。

  3. 進階通知
    AWS Shield Advanced透過Amazon CloudWatch 即時的通知,以及主控台上的詳細診斷資訊,可完全看清 DDoS 攻擊。

  4. 進階且永遠啟用的監控
    AWS Shield Advanced可針對EC2、ELB、Amazon CloudFront或Route53提供永久且更高水準的攻擊防護。

  5. 費用保護
    AWS Shield Advanced可享有「DDoS擴展費用保護」,意思就是說如果第四點的那些服務因為受到攻擊而造成流量暴增,由AWS來吸收成本。

4.考前重點大補帖

⦁ 阻斷服務攻擊(DoS)是一個攻擊者攻擊一個目標。

⦁ 分散式阻斷服務攻擊(DDoS) 是多個攻擊者攻擊一個目標。

⦁ AWS Shield 是一種受管的分散式阻斷服務攻擊 (DDoS) 保護服務,可保護 AWS 上執行的應用程式不受攻擊。

⦁ 攻擊者通常會攻擊應用程式層。

⦁ AWS Shield 提供不中斷的偵測和自動的內嵌緩解功能。

⦁ AWS Shield 不用聯絡 AWS Support 也能獲得 DDoS 保護。

⦁ AWS Shield 提供無縫整合與部署。

⦁ AWS Shield分成AWS Shield Standard (標準版本)和 AWS Shield Advanced(進階版本)

⦁ AWS Shield Advanced可全天候使用 AWS DDoS 應變小組 (DRT) 。

⦁ AWS Shield Advanced享有DDoS擴展費用保護。

⦁ AWS Shield Advanced可享有撰寫自訂規則的彈性,以緩解應用程式層的複雜攻擊,

⦁ AWS Shield Standard可透過使用AWS WAF撰寫規則來緩解應用程式層攻擊(按需付費),AWS Shield Advanced則免費。

⦁ AWS Shield的標頭驗證和依優先順序設定的流量管制等各種技術會自動緩解攻擊。


上一篇
Day24:Amazon Inspector
下一篇
Day26:AWS安全合規 & AWS定價基礎
系列文
三十天考過AWS CCP證照,真awsome(重新報名版)30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言