AWS re:Post Knowledge Center Feedback Survey

Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.

如何使用 Shield Standard 防御 DDoS 攻击？

2 分钟阅读

我想使用 AWS Shield Standard 保护我的应用程序免受分布式拒绝服务 (DDoS) 攻击。

简短描述

您的 AWS 账户默认启用 AWS Shield Standard，无需额外付费。以下服务提供“始终在线”的 Shield Standard 防护，可抵御常见的网络层和传输层攻击：

适用于 HTTP 和 gRPC 远程过程调用工作负载的 Amazon CloudFront
适用于 DNS 的 Amazon Route 53

解决方法

要使用 Shield Standard 保护您的应用程序免受 DDoS 攻击，最佳做法是遵循以下适用于您的应用程序架构的准则：

使用专为扩展而设计的服务。
减少攻击面。
检测并过滤恶意流量。
监控应用程序行为。
创建应对 DDoS 攻击的计划。

使用专为扩展而设计的服务

遵循以下最佳实践进行设计以应对大规模流量：

使用 CloudFront、Global Accelerator 和 Route 53 保护 AWS 网络边缘的应用程序。
使用弹性负载均衡分配流量，而对于应用程序负载均衡器，通过[容量预留](http://Capacity reservations for your Application Load Balancer) 为其预留最小容量。
通过应用程序自动扩缩（可集成多种服务）按需进行横向或纵向扩展。

减少攻击面

遵循以下最佳实践来减少攻击面：

限制对 CloudFront 源的访问。对于 Amazon S3 源，请使用来源访问控制 (OAC)。对于弹性负载均衡器、网络负载均衡器或 EC2 实例作为源的情况，请使用 VPC 源。如果您当前使用的 CloudFront 托管前缀列表未配置 VPC 源，请部署 VPC 源。
要确保只有预期流量到达您的应用程序，请使用网络访问控制列表（网络 ACL）和安全组。
为降低恶意流量到达您的应用程序的可能性，请勿向后端资源分配公共弹性 IP 地址。

有关详细信息，请参阅减少攻击面。

检测并过滤恶意流量

遵循以下最佳实践来检测并过滤恶意流量：

遵循 DDoS 弹性防护 - 使用 AWS WAF 防御 DDoS 僵尸网络中概述的 AWS WAF 最佳实践。
**注意：**您必须使用 Amazon CloudFront、Amazon API Gateway、应用程序负载均衡器、AWS AppSync 或 Amazon Cognito 才能使用 AWS WAF。
利用 CloudFront CDN 缓存来减少对源的可缓存请求 - 请参阅 DDoS 弹性防护 - HTTP 缓存的重要性。
在适用场景下启用 API Gateway 上的 API 缓存，并通过 Amazon API Gateway REST API 对每种方法使用突增限制。

有关详细信息，请参阅缓解技术。

监控应用程序行为

遵循以下最佳实践来监控应用程序行为：

创建 Amazon CloudWatch 控制面板，为您的应用程序的关键指标（例如流量模式和资源使用情况）建立基准。
使用[集中日志记录解决方案](http:// https//docs.aws.amazon.com/solutions/latest/centralized-logging-with-opensearch/solution-overview.html) 增强 CloudWatch 日志的可见性。
配置 CloudWatch 警报，用于自动扩展应用程序以应对 DDoS 攻击。

有关详细信息，请参阅监控应用程序自动扩缩。

创建应对 DDoS 攻击的计划

提前制定运行手册，以便您可以高效、及时地应对 DDoS 攻击。有关如何创建运行手册的指导，请参阅 AWS 安全事件响应技术指南。

有关如何保护您的应用程序免受 DDoS 攻击的详细信息，请参阅 DDoS 弹性的 AWS 最佳实践。