AWS WAF Grupo de reglas de prevención de denegación de servicio (DDoS) distribuida - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, y director AWS Shield de seguridad de red
Uso de este grupo de reglasEtiquetas agregadas por este grupo de reglasLista de reglas

Presentamos una nueva experiencia de consola para AWS WAF

Ahora puede usar la experiencia actualizada para acceder a las AWS WAF funciones desde cualquier parte de la consola. Para obtener más información, consulta Trabajar con la experiencia de consola actualizada.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS WAF Grupo de reglas de prevención de denegación de servicio (DDoS) distribuida

En esta sección se describe el grupo de reglas AWS WAF gestionadas para la protección contra los ataques distribuidos de denegación de servicio (DDoS).

VendorName:AWS, Nombre:AWSManagedRulesAntiDDoSRuleSet, WCU: 50

nota

Esta documentación cubre la versión estática más reciente de este grupo de reglas administrado. Reportamos los cambios de versión en el registro de cambios en. AWS Registro de cambios de reglas gestionadas Para obtener información sobre otras versiones, usa el comando API. DescribeManagedRuleGroup

La información que publicamos sobre las reglas de los grupos de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.

Si necesita más información de la que encuentra aquí, póngase en contacto con el AWS Support Centro.

El grupo de reglas gestionadas por DDo Anti-S proporciona reglas que detectan y gestionan las solicitudes que participan o es probable que participen en ataques tipo DDo S. Además, el grupo de reglas etiqueta todas las solicitudes que evalúa durante un evento probable.

Consideraciones para utilizar este grupo de reglas

Este grupo de reglas proporciona mitigaciones flexibles y estrictas para las solicitudes web que llegan a recursos que están siendo atacados por el tipo DDo S. Para detectar distintos niveles de amenaza, puede ajustar la sensibilidad de ambos tipos de mitigación a niveles de sospecha altos, medios o bajos.

  • Mitigación suave: el grupo de reglas puede enviar desafíos de navegador silenciosos en respuesta a solicitudes que puedan gestionar el desafío de forma intersticial. Para obtener información sobre los requisitos para ejecutar el desafío, consulte. Comportamiento de acción CAPTCHA y Challenge

  • Mitigación estricta: el grupo de reglas puede bloquear las solicitudes por completo.

Para obtener más información sobre cómo funciona el grupo de reglas y cómo configurarlo, consulteProtección Anti- DDo S avanzada mediante el grupo de reglas gestionado AWS WAF Anti- DDo S.

nota

Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administradas. Para obtener más información, consulte AWS WAF Precios.

Este grupo de reglas forma parte de las protecciones de mitigación de amenazas inteligentes de AWS WAF. Para obtener información, consulte Mitigación inteligente de amenazas en AWS WAF.

Para minimizar los costes y optimizar la gestión del tráfico, utilice este grupo de reglas de acuerdo con las directrices de prácticas recomendadas. Consulte, Mejores prácticas para la mitigación inteligente de amenazas en AWS WAF.

Etiquetas agregadas por este grupo de reglas

Este grupo de reglas administrado agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en su paquete de protección o ACL web. AWS WAF también registra las etiquetas según las CloudWatch métricas de Amazon. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte Etiquetado de solicitudes web y Etiquetar métricas y dimensiones.

Etiquetas de token

Este grupo de reglas utiliza la administración de AWS WAF tokens para inspeccionar y etiquetar las solicitudes web según el estado de sus AWS WAF tokens. AWS WAF usa tokens para el seguimiento y la verificación de las sesiones del cliente.

Para obtener información sobre los tókenes y su administración, consulte Uso de tokens en la mitigación AWS WAF inteligente de amenazas.

Para obtener información sobre los componentes de las etiquetas que se describen aquí, consulte Requisitos de nomenclatura y sintaxis de etiquetas en AWS WAF.

Etiqueta de sesión de cliente

La etiqueta awswaf:managed:token:id:identifier contiene un identificador único que la administración de AWS WAF tokens utiliza para identificar la sesión del cliente. El identificador puede cambiar, por ejemplo, si el cliente adquiere un nuevo token después de descartar el que estaba utilizando.

nota

AWS WAF no informa de CloudWatch las estadísticas de Amazon para esta etiqueta.

Etiqueta de huella digital del navegador

La etiqueta awswaf:managed:token:fingerprint:fingerprint-identifier contiene un robusto identificador de huellas dactilares del navegador que la administración de AWS WAF tokens calcula a partir de varias señales del navegador del cliente. Este identificador permanece igual en varios intentos de adquisición de fichas. El identificador de huella digital no es exclusivo de un solo cliente.

nota

AWS WAF no informa de CloudWatch las estadísticas de Amazon para esta etiqueta.

Etiquetas de estado del token: prefijos del espacio de nombres de etiquetas

Las etiquetas de estado del token informan sobre el estado del token y de la información que contiene del desafío y del CAPTCHA.

Cada etiqueta de estado del token comienza con uno de los siguientes prefijos de espacio de nombres:

  • awswaf:managed:token:: Se utiliza para informar sobre el estado general del token y el estado de la información del desafío del token.

  • awswaf:managed:captcha:: Se utiliza para informar sobre el estado de la información del CAPTCHA del token.

Etiquetas de estado del token: nombres de etiquetas

Tras el prefijo, el resto de la etiqueta proporciona información detallada sobre el estado del token:

  • accepted: El token de solicitud está presente y contiene lo siguiente:

    • Una solución válida del desafío o del CAPTCHA.

    • Una marca de tiempo vigente del desafío o del CAPTCHA.

    • Una especificación de dominio válida para el paquete de protección o la ACL web.

    Ejemplo: la etiqueta awswaf:managed:token:accepted indica que el token de la solicitud web tiene una solución válida y una marca temporal vigente para el desafío, así como un dominio válido.

  • rejected: El token de solicitud está presente, pero no cumple con los criterios de aceptación.

    Junto con la etiqueta rechazada, la administración del token agrega un espacio de nombres y nombre de etiqueta personalizados para indicar el motivo.

    • rejected:not_solved: Al token le falta la solución del desafío o del CAPTCHA.

    • rejected:expired— La marca temporal de prueba o CAPTCHA del token ha caducado, en función de los tiempos de inmunidad de los tokens configurados por el paquete de protección o la ACL web.

    • rejected:domain_mismatch— El dominio del token no coincide con la configuración del dominio del token de tu paquete de protección ni con la de la ACL web.

    • rejected:invalid— no se AWS WAF pudo leer el token indicado.

    Ejemplo: Las etiquetas awswaf:managed:captcha:rejected awswaf:managed:captcha:rejected:expired juntas indican que la solicitud no tenía una resolución de CAPTCHA válida porque la marca temporal de CAPTCHA del token ha superado el tiempo de inmunidad del token de CAPTCHA configurado en el paquete de protección o en la ACL web.

  • absent: La solicitud no contiene el token o el administrador del token no ha podido leerlo.

    Ejemplo: la etiqueta awswaf:managed:captcha:absent indica que la solicitud no tiene el token.

Etiquetas antiS DDo

El grupo de reglas gestionado por Anti- DDo S genera etiquetas con el prefijo del espacio de nombres awswaf:managed:aws:anti-ddos: seguido de cualquier espacio de nombres personalizado y del nombre de la etiqueta. Cada etiqueta refleja algún aspecto de las conclusiones de Anti- S. DDo

El grupo de reglas puede añadir más de una de las siguientes etiquetas a una solicitud, además de las etiquetas que añaden las reglas individuales.

  • awswaf:managed:aws:anti-ddos:event-detected— Indica que la solicitud va a un recurso protegido para el que el grupo de reglas administrado detecta un evento DDo S. El grupo de reglas administrado detecta eventos cuando el tráfico hacia el recurso presenta una desviación significativa con respecto a la línea base de tráfico del recurso.

    El grupo de reglas agrega esta etiqueta a todas las solicitudes que se envían al recurso mientras se encuentra en este estado, por lo que el tráfico legítimo y el tráfico de ataque reciben esta etiqueta.

  • awswaf:managed:aws:anti-ddos:ddos-request— Indica que la solicitud proviene de una fuente sospechosa de participar en un evento.

    Además de la etiqueta general, el grupo de reglas añade las siguientes etiquetas que indican el nivel de confianza.

    awswaf:managed:aws:anti-ddos:low-suspicion-ddos-request— Indica una probable solicitud de ataque DDo S.

    awswaf:managed:aws:anti-ddos:medium-suspicion-ddos-request— Indica una solicitud de ataque DDo S muy probable.

    awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request— Indica una solicitud de ataque DDo S muy probable.

  • awswaf:managed:aws:anti-ddos:challengeable-request— Indica que el URI de la solicitud es capaz de gestionar la Challenge acción. El grupo de reglas administrado lo aplica a cualquier solicitud cuyo URI no esté exento. URIs están exentos si coinciden con las expresiones regulares de URI exentas del grupo de reglas.

    Para obtener información sobre los requisitos para las solicitudes que pueden ser utilizadas por un navegador silencioso, consulteComportamiento de acción CAPTCHA y Challenge.

Puede recuperar todas las etiquetas de un grupo de reglas a través de la API llamando al DescribeManagedRuleGroup. Las etiquetas aparecen en la propiedad AvailableLabels de la respuesta.

El grupo de reglas gestionado por Anti- DDo S aplica etiquetas a las solicitudes, pero no siempre actúa en consecuencia. La gestión de las solicitudes depende de la confianza con la que el grupo de reglas determine la participación en un ataque. Si lo desea, puede administrar las solicitudes que el grupo de reglas etiqueta añadiendo una regla de coincidencia de etiquetas que se ejecute después del grupo de reglas. Para obtener más información acerca de esto y ver ejemplos, consulte AWS WAF Prevención de denegación de servicio (DDoS) distribuida.

Listado de reglas DDo anti-S

En esta sección se enumeran las reglas DDo antiS.

nota

Esta documentación trata de la versión estática más reciente de este grupo de reglas gestionado. Reportamos los cambios de versión en el registro de cambios en. AWS Registro de cambios de reglas gestionadas Para obtener información sobre otras versiones, usa el comando API. DescribeManagedRuleGroup

La información que publicamos sobre las reglas de los grupos de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.

Si necesita más información de la que encuentra aquí, póngase en contacto con el AWS Support Centro.

Nombre de la regla Descripción
ChallengeAllDuringEvent

Coincide con las solicitudes que tienen la etiqueta awswaf:managed:aws:anti-ddos:challengeable-request de cualquier recurso protegido que esté siendo atacado actualmente.

Acción de la regla: Challenge

Solo puede anular esta acción de regla en Allow oCount. No se Allow recomienda el uso de. Para cualquier configuración de acción de regla, la regla solo coincide con las solicitudes que tienen la challengeable-request etiqueta.

La configuración de esta regla afecta a la evaluación de la siguiente regla,ChallengeDDoSRequests. AWS WAF solo evalúa esa regla cuando la acción para esta regla se ha establecido en la configuración de la ACL web del grupo de reglas administrado. Count

Si su carga de trabajo es vulnerable a cambios inesperados en el volumen de solicitudes, le recomendamos que rechace todas las solicitudes impugnables manteniendo la configuración de acción predeterminada de. Challenge En el caso de las aplicaciones menos sensibles, puedes establecer la acción de esta regla en Count y, a continuación, ajustar la sensibilidad de tus Challenge respuestas con la reglaChallengeDDoSRequests.

Etiquetas: awswaf:managed:aws:anti-ddos:ChallengeAllDuringEvent

ChallengeDDoSRequests

Coincide con las solicitudes de un recurso protegido que cumplen o superan la configuración de sensibilidad a los desafíos configurada por el grupo de reglas durante los momentos en que el recurso está siendo atacado.

Acción de la regla: Challenge

Solo puede anular esta acción de regla para Allow oCount. No se Allow recomienda el uso de. En cualquier caso, la regla solo coincide con las solicitudes que tienen la challengeable-request etiqueta.

AWS WAF solo evalúa esta regla si se anula la acción de la Count regla anterior,. ChallengeAllDuringEvent

Etiquetas: awswaf:managed:aws:anti-ddos:ChallengeDDoSRequests

DDoSRequests

Coincide con las solicitudes de un recurso protegido que cumplen o superan la configuración de sensibilidad a los bloques configurada por el grupo de reglas durante los momentos en que el recurso está siendo atacado.

Acción de la regla: Block

Etiquetas: awswaf:managed:aws:anti-ddos:DDoSRequests