Wir stellen vor: ein neues Konsolenerlebnis für AWS WAF
Sie können das aktualisierte Erlebnis jetzt verwenden, um überall in der Konsole auf AWS WAF Funktionen zuzugreifen. Weitere Details finden Sie unter Arbeiten mit der aktualisierten Konsolenerfahrung.
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS WAF Regelgruppe zur Verhinderung von Distributed Denial of Service (DDoS)
In diesem Abschnitt wird die AWS WAF verwaltete Regelgruppe zum Schutz vor Distributed Denial of Service (DDoS) -Angriffen beschrieben.
VendorName:AWS, Name:AWSManagedRulesAntiDDoSRuleSet
Anmerkung
Diese Dokumentation behandelt die neueste statische Version dieser verwalteten Regelgruppe. Wir melden Versionsänderungen im Changelog-Protokoll unterAWS Änderungsprotokoll für verwaltete Regeln. Für Informationen zu anderen Versionen verwenden Sie den API-Befehl DescribeManagedRuleGroup.
Die Informationen, die wir für die Regeln in den Regelgruppen „ AWS Verwaltete Regeln“ veröffentlichen, sollen Ihnen alles bieten, was Sie für die Verwendung der Regeln benötigen, ohne dass böswillige Akteure das benötigen, um die Regeln zu umgehen.
Wenn Sie mehr Informationen benötigen, als Sie hier finden, wenden Sie sich an das AWS -Support Center
Die verwaltete DDo Anti-S-Regelgruppe enthält Regeln zur Erkennung und Verwaltung von Anfragen, die an DDo S-Angriffen beteiligt sind oder wahrscheinlich daran beteiligt sind. Darüber hinaus kennzeichnet die Regelgruppe alle Anfragen, die sie während eines wahrscheinlichen Ereignisses bewertet.
Überlegungen zur Verwendung dieser Regelgruppe
Diese Regelgruppe bietet sanfte und harte Abhilfemaßnahmen für Webanfragen, die an Ressourcen gesendet werden, die einem DDo S-Angriff ausgesetzt sind. Um unterschiedliche Bedrohungsstufen zu erkennen, können Sie die Empfindlichkeit beider Schutzarten auf hohe, mittlere oder niedrige Verdachtsstufen einstellen.
Weiche Abwehr — Die Regelgruppe kann als Antwort auf Anfragen, die die Herausforderung interstitiell bewältigen können, automatische Browseranfragen senden. Informationen zu den Anforderungen für die Ausführung der Herausforderung finden Sie unter. CAPTCHAund Challenge Handlungsverhalten
Harte Abwehr — Die Regelgruppe kann Anfragen vollständig blockieren.
Weitere Informationen zur Funktionsweise und Konfiguration der Regelgruppe finden Sie unterErweiterter DDo Anti-S-Schutz mithilfe der verwalteten AWS WAF DDo Anti-S-Regelgruppe.
Anmerkung
Ihnen werden zusätzliche Gebühren berechnet, wenn Sie diese verwaltete Regelgruppe verwenden. Weitere Informationen finden Sie unter AWS WAF – Preise
Diese Regelgruppe ist Teil der intelligenten Schutzmaßnahmen zur Abwehr von Bedrohungen in. AWS WAF Weitere Informationen finden Sie unter Intelligente Bedrohungsabwehr in AWS WAF.
Verwenden Sie diese Regelgruppe gemäß den Richtlinien für bewährte Verfahren, um die Kosten zu minimieren und das Verkehrsmanagement zu optimieren. Siehe Bewährte Methoden für intelligente Bedrohungsabwehr in AWS WAF.
Von dieser Regelgruppe hinzugefügte Bezeichnungen
Diese verwaltete Regelgruppe fügt den Webanforderungen, die sie auswertet, Labels hinzu, die für Regeln verfügbar sind, die nach dieser Regelgruppe in Ihrem Schutzpaket oder Ihrer Web-ACL ausgeführt werden. AWS WAF zeichnet die Labels auch anhand von CloudWatch Amazon-Metriken auf. Allgemeine Informationen zu Labels und Label-Metriken finden Sie unter Etikettierung von Webanfragen undKennzeichnen Sie Metriken und Dimensionen.
Token-Labels
Diese Regelgruppe verwendet AWS WAF Tokenverwaltung, um Webanfragen anhand des Status ihrer AWS WAF Token zu überprüfen und zu kennzeichnen. AWS WAF verwendet Token für die Nachverfolgung und Überprüfung von Clientsitzungen.
Hinweise zu Token und Tokenverwaltung finden Sie unterVerwendung von Token bei der AWS WAF intelligenten Bedrohungsabwehr.
Informationen zu den hier beschriebenen Label-Komponenten finden Sie unterAnforderungen an Labelsyntax und Benennung in AWS WAF.
Bezeichnung der Clientsitzung
Das Label awswaf:managed:token:id: enthält eine eindeutige Kennung, anhand derer die AWS WAF Tokenverwaltung die Clientsitzung identifiziert. Die Kennung kann sich ändern, wenn der Client ein neues Token erwirbt, beispielsweise nachdem er das Token, das er verwendet hat, verworfen hat. identifier
Anmerkung
AWS WAF meldet keine CloudWatch Amazon-Metriken für dieses Label.
Fingerabdruck-Label des Browsers
Das Etikett awswaf:managed:token:fingerprint: enthält eine robuste Browser-Fingerabdruck-ID, die das AWS WAF Token-Management aus verschiedenen Client-Browsersignalen berechnet. Diese Kennung bleibt auch bei mehreren Token-Akquisitionsversuchen gleich. Die Fingerabdruck-ID ist nicht eindeutig für einen einzelnen Client.fingerprint-identifier
Anmerkung
AWS WAF meldet keine CloudWatch Amazon-Metriken für dieses Label.
Token-Statusbezeichnungen: Namespace-Präfixe für Labels
Token-Statusbezeichnungen geben Auskunft über den Status des Tokens und der darin enthaltenen Challenge- und CAPTCHA-Informationen.
Jedes Token-Statuslabel beginnt mit einem der folgenden Namespace-Präfixe:
awswaf:managed:token:— Wird verwendet, um den allgemeinen Status des Tokens und den Status der Challenge-Informationen des Tokens zu melden.awswaf:managed:captcha:— Wird verwendet, um über den Status der CAPTCHA-Informationen des Tokens zu berichten.
Token-Statusbezeichnungen: Labelnamen
Nach dem Präfix enthält der Rest des Labels detaillierte Informationen zum Token-Status:
accepted— Das Anforderungstoken ist vorhanden und enthält Folgendes:Eine gültige Challenge oder CAPTCHA-Lösung.
Eine noch nicht abgelaufene Herausforderung oder ein CAPTCHA-Zeitstempel.
Eine Domainspezifikation, die für das Protection Pack oder die Web-ACL gültig ist.
Beispiel: Das Label
awswaf:managed:token:acceptedgibt an, dass das Token der Webanfragen eine gültige Challenge-Lösung, einen noch nicht abgelaufenen Challenge-Zeitstempel und eine gültige Domain enthält.-
rejected— Das Anforderungstoken ist vorhanden, erfüllt aber nicht die Akzeptanzkriterien.Zusammen mit dem abgelehnten Label fügt die Tokenverwaltung einen benutzerdefinierten Label-Namespace und einen Namen hinzu, um den Grund anzugeben.
rejected:not_solved— Dem Token fehlt die Challenge- oder CAPTCHA-Lösung.rejected:expired— Der Challenge- oder CAPTCHA-Zeitstempel des Tokens ist gemäß den von Ihrem Schutzpaket oder Ihrer Web-ACL konfigurierten Token-Immunitätszeiten abgelaufen.rejected:domain_mismatch— Die Domain des Tokens entspricht nicht der Token-Domain-Konfiguration Ihres Schutzpakets oder Ihrer Web-ACL.rejected:invalid— Das angegebene Token AWS WAF konnte nicht gelesen werden.
Beispiel: Die beiden Bezeichnungen
awswaf:managed:captcha:rejecteddeutenawswaf:managed:captcha:rejected:expiredzusammen darauf hin, dass für die Anfrage keine gültige CAPTCHA-Lösung gefunden wurde, da der CAPTCHA-Zeitstempel im Token die Immunitätszeit des CAPTCHA-Tokens überschritten hat, die im Schutzpaket oder in der Web-ACL konfiguriert ist. -
absent— Die Anfrage enthält das Token nicht oder der Token-Manager konnte es nicht lesen.Beispiel: Das Label
awswaf:managed:captcha:absentgibt an, dass die Anfrage das Token nicht enthält.
DDoAnti-S-Etiketten
Die verwaltete DDo Anti-S-Regelgruppe generiert Labels mit dem Namespace-Präfix, awswaf:managed:aws:anti-ddos: gefolgt von einem beliebigen benutzerdefinierten Namespace und dem Labelnamen. Jedes Etikett spiegelt einen Aspekt der Anti-S-Ergebnisse widerDDo.
Die Regelgruppe kann einer Anfrage zusätzlich zu den Bezeichnungen, die durch einzelne Regeln hinzugefügt werden, mehr als eines der folgenden Labels hinzufügen.
-
awswaf:managed:aws:anti-ddos:event-detected— Zeigt an, dass die Anforderung an eine geschützte Ressource geht, für die die verwaltete Regelgruppe ein DDo S-Ereignis erkennt. Die verwaltete Regelgruppe erkennt Ereignisse, wenn der Datenverkehr zur Ressource erheblich von der Datenverkehrsbasis der Ressource abweicht.Die Regelgruppe fügt dieses Label jeder Anfrage hinzu, die an die Ressource gesendet wird, während sie sich in diesem Status befindet, sodass legitimer Datenverkehr und Angriffsverkehr diese Bezeichnung erhalten.
-
awswaf:managed:aws:anti-ddos:ddos-request— Zeigt an, dass die Anfrage von einer Quelle stammt, von der vermutet wird, dass sie an einem Ereignis teilgenommen hat.Zusätzlich zur allgemeinen Bezeichnung fügt die Regelgruppe die folgenden Bezeichnungen hinzu, die das Konfidenzniveau angeben.
awswaf:managed:aws:anti-ddos:low-suspicion-ddos-request— Weist auf eine wahrscheinliche DDo S-Angriffsanforderung hin.awswaf:managed:aws:anti-ddos:medium-suspicion-ddos-request— Weist auf eine sehr wahrscheinliche DDo S-Angriffsanforderung hin.awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request— Weist auf eine DDo S-Angriffsanforderung mit hoher Wahrscheinlichkeit hin. -
awswaf:managed:aws:anti-ddos:challengeable-request— Zeigt an, dass der Anforderungs-URI die Challenge Aktion verarbeiten kann. Die verwaltete Regelgruppe wendet dies auf jede Anfrage an, deren URI nicht ausgenommen ist. URIs sind ausgenommen, wenn sie den regulären Ausdrücken der ausgenommenen URI der Regelgruppe entsprechen.Informationen zu den Anforderungen für Anfragen, die eine automatische Browser-Anfrage annehmen können, finden Sie unterCAPTCHAund Challenge Handlungsverhalten.
Sie können alle Labels für eine Regelgruppe über die API abrufen, indem Sie aufrufenDescribeManagedRuleGroup. Die Kennzeichnungen werden in der Eigenschaft AvailableLabels in der Antwort aufgeführt.
Die verwaltete DDo Anti-S-Regelgruppe wendet Labels auf Anfragen an, reagiert aber nicht immer darauf. Die Verwaltung von Anfragen hängt von der Zuverlässigkeit ab, mit der die Regelgruppe die Teilnahme an einem Angriff feststellt. Wenn Sie möchten, können Sie Anfragen verwalten, die von der Regelgruppe gekennzeichnet werden, indem Sie eine Regel für den Labelabgleich hinzufügen, die nach der Regelgruppe ausgeführt wird. Weitere Informationen und Beispiele finden Sie unter AWS WAF Verhinderung von Distributed Denial of Service (DDoS).
Liste der DDo Anti-S-Regeln
In diesem Abschnitt sind die DDo Anti-S-Regeln aufgeführt.
Anmerkung
Diese Dokumentation behandelt die neueste statische Version dieser verwalteten Regelgruppe. Wir melden Versionsänderungen im Changelog-Protokoll unterAWS Änderungsprotokoll für verwaltete Regeln. Für Informationen zu anderen Versionen verwenden Sie den API-Befehl DescribeManagedRuleGroup.
Die Informationen, die wir für die Regeln in den Regelgruppen „ AWS Verwaltete Regeln“ veröffentlichen, sollen Ihnen alles bieten, was Sie für die Verwendung der Regeln benötigen, ohne dass böswillige Akteure das benötigen, um die Regeln zu umgehen.
Wenn Sie mehr Informationen benötigen, als Sie hier finden, wenden Sie sich an das AWS -Support Center
| Regelname | Beschreibung |
|---|---|
ChallengeAllDuringEvent |
Findet Anfragen, die das Label Regelaktion: Challenge Sie können diese Regelaktion nur mit Allow oder überschreibenCount. Die Verwendung von Allow wird nicht empfohlen. Bei jeder Einstellung für Regelaktionen entspricht die Regel nur Anfragen, die das Die Konfiguration dieser Regel wirkt sich auf die Auswertung der nächsten Regel aus Wenn Ihr Workload anfällig für unerwartete Änderungen des Anforderungsvolumens ist, empfehlen wir, alle anfechtbaren Anfragen herauszufordern, indem Sie die Standardeinstellung für Aktionen beibehalten. Challenge Für weniger sensible Anwendungen können Sie die Aktion für diese Regel auf festlegen Count und dann die Sensitivität Ihrer Challenge Antworten anhand der Regel Beschriftungen: |
ChallengeDDoSRequests |
Findet Anfragen für eine geschützte Ressource, die die von der Regelgruppe konfigurierte Einstellung zur Sensitivität von Sicherheitsbedrohungen erfüllen oder überschreiten, wenn die Ressource angegriffen wird. Regelaktion: Challenge Sie können diese Regelaktion nur mit Allow oder überschreibenCount. Die Verwendung von Allow wird nicht empfohlen. In jedem Fall entspricht die Regel nur Anfragen, die das AWS WAF wertet diese Regel nur aus, wenn Sie die Aktion Count in der vorherigen Regel überschreiben. Beschriftungen: |
DDoSRequests |
Findet Anfragen nach einer geschützten Ressource, die die für die Regelgruppe konfigurierte Einstellung zur Blocksensitivität erfüllen oder überschreiten, wenn die Ressource angegriffen wird. Regelaktion: Block Beschriftungen: |
