AWS WAF Groupe de règles de prévention du déni de service distribué (DDoS) - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, et directeur de la sécurité AWS Shield réseau

Présentation d'une nouvelle expérience de console pour AWS WAF

Vous pouvez désormais utiliser l'expérience mise à jour pour accéder aux AWS WAF fonctionnalités n'importe où dans la console. Pour en savoir plus, consultez Utilisation de l'expérience de console mise à jour.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS WAF Groupe de règles de prévention du déni de service distribué (DDoS)

Cette section décrit le groupe de règles AWS WAF géré pour la protection contre les attaques par déni de service distribué (DDoS).

VendorName:AWS, Nom :AWSManagedRulesAntiDDoSRuleSet, WCU : 50

Note

Cette documentation couvre la version statique la plus récente de ce groupe de règles géré. Nous signalons les modifications de version dans le journal des modifications à l'adresse. AWS Journal des modifications des règles gérées Pour plus d'informations sur les autres versions, utilisez la commande API DescribeManagedRuleGroup.

Les informations que nous publions concernant les règles des groupes de règles AWS gérées visent à vous fournir les informations dont vous avez besoin pour utiliser les règles sans donner aux acteurs malveillants ce dont ils ont besoin pour les contourner.

Si vous avez besoin de plus d'informations que celles que vous trouverez ici, contactez le AWS Support Centre.

Le groupe de règles gérées DDo anti-S fournit des règles qui détectent et gèrent les demandes qui participent ou sont susceptibles de participer à des attaques DDo S. En outre, le groupe de règles étiquette toutes les demandes qu'il évalue lors d'un événement probable.

Considérations relatives à l'utilisation de ce groupe de règles

Ce groupe de règles fournit des mesures d'atténuation souples et strictes pour les requêtes Web destinées à des ressources soumises à une attaque DDo S. Pour détecter différents niveaux de menace, vous pouvez ajuster la sensibilité des deux types d'atténuation à des niveaux de suspicion élevés, moyens ou faibles.

  • Atténuation souple : le groupe de règles peut envoyer des défis de navigateur silencieux en réponse à des demandes capables de gérer le défi interstitiel. Pour plus d'informations sur les conditions requises pour exécuter le défi, consultezCAPTCHAet comportement Challenge d'action.

  • Atténuation stricte : le groupe de règles peut bloquer complètement les demandes.

Pour plus d'informations sur le fonctionnement du groupe de règles et sur sa configuration, consultezProtection DDo anti-S avancée à l'aide du groupe de règles géré AWS WAF DDo anti-S.

Note

Des frais supplémentaires vous sont facturés lorsque vous utilisez ce groupe de règles géré. Pour plus d’informations, consultez Tarification d’AWS WAF.

Ce groupe de règles fait partie des protections intelligentes d'atténuation des menaces contenues dans AWS WAF. Pour plus d'informations, consultez Atténuation intelligente des menaces dans AWS WAF.

Pour minimiser les coûts et optimiser la gestion du trafic, utilisez ce groupe de règles conformément aux meilleures pratiques. Consultez Les meilleures pratiques pour l'atténuation intelligente des menaces dans AWS WAF.

Étiquettes ajoutées par ce groupe de règles

Ce groupe de règles géré ajoute des libellés aux requêtes Web qu'il évalue, qui sont disponibles pour les règles exécutées après ce groupe de règles dans votre pack de protection ou votre ACL Web. AWS WAF enregistre également les étiquettes selon les CloudWatch statistiques d'Amazon. Pour obtenir des informations générales sur les étiquettes et les mesures relatives aux étiquettes, reportez-vous Étiquetage des requêtes Web aux sections etMétriques et dimensions des étiquettes.

Étiquettes à jetons

Ce groupe de règles utilise la gestion des AWS WAF jetons pour inspecter et étiqueter les requêtes Web en fonction de l'état de leurs AWS WAF jetons. AWS WAF utilise des jetons pour le suivi et la vérification des sessions client.

Pour plus d'informations sur les jetons et leur gestion, consultezUtilisation de jetons pour l'atténuation AWS WAF intelligente des menaces.

Pour plus d'informations sur les composants de l'étiquette décrits ici, voirSyntaxe des étiquettes et exigences de dénomination dans AWS WAF.

Libellé de session client

L'étiquette awswaf:managed:token:id:identifier contient un identifiant unique que la gestion des AWS WAF jetons utilise pour identifier la session client. L'identifiant peut changer si le client acquiert un nouveau jeton, par exemple après avoir supprimé le jeton qu'il utilisait.

Note

AWS WAF ne communique pas CloudWatch les statistiques Amazon pour cette étiquette.

Étiquette d'empreinte digitale du navigateur

L'étiquette awswaf:managed:token:fingerprint:fingerprint-identifier contient un identifiant d'empreinte digitale robuste que la gestion des AWS WAF jetons calcule à partir de divers signaux du navigateur client. Cet identifiant reste le même lors de plusieurs tentatives d'acquisition de jetons. L'identifiant d'empreinte digitale n'est pas propre à un seul client.

Note

AWS WAF ne communique pas CloudWatch les statistiques Amazon pour cette étiquette.

Étiquettes d'état des jetons : préfixes d'espace de noms d'étiquettes

Les étiquettes d'état du jeton indiquent le statut du jeton ainsi que les informations relatives au défi et au CAPTCHA qu'il contient.

Chaque étiquette de statut de jeton commence par l'un des préfixes d'espace de noms suivants :

  • awswaf:managed:token:— Utilisé pour signaler l'état général du jeton et pour rendre compte de l'état des informations de défi du jeton.

  • awswaf:managed:captcha:— Utilisé pour rendre compte de l'état des informations CAPTCHA du jeton.

Étiquettes d'état des jetons : noms des étiquettes

Après le préfixe, le reste de l'étiquette fournit des informations détaillées sur l'état du jeton :

  • accepted— Le jeton de demande est présent et contient les éléments suivants :

    • Un défi ou une solution CAPTCHA valide.

    • Un défi ou un horodatage CAPTCHA non expiré.

    • Spécification de domaine valide pour le pack de protection ou l'ACL Web.

    Exemple : L'étiquette awswaf:managed:token:accepted indique que le jeton des requêtes Web contient une solution de défi valide, un horodatage de défi non expiré et un domaine valide.

  • rejected— Le jeton de demande est présent mais ne répond pas aux critères d'acceptation.

    Outre l'étiquette rejetée, la gestion des jetons ajoute un espace de noms et un nom d'étiquette personnalisés pour en indiquer la raison.

    • rejected:not_solved— Le challenge ou la solution CAPTCHA ne sont pas présents dans le jeton.

    • rejected:expired— L'horodatage du challenge ou du CAPTCHA du jeton a expiré, conformément aux durées d'immunité des jetons configurées par votre pack de protection ou par l'ACL Web.

    • rejected:domain_mismatch— Le domaine du jeton ne correspond pas à la configuration du domaine du jeton de votre pack de protection ou de l'ACL Web.

    • rejected:invalid— AWS WAF n'a pas pu lire le jeton indiqué.

    Exemple : awswaf:managed:captcha:rejected:expired ensemble, les awswaf:managed:captcha:rejected libellés indiquent que la demande ne comportait pas de résolution CAPTCHA valide car l'horodatage CAPTCHA figurant dans le jeton a dépassé le délai d'immunité du jeton CAPTCHA configuré dans le pack de protection ou l'ACL Web.

  • absent— La demande ne contient pas le jeton ou le gestionnaire de jetons n'a pas pu le lire.

    Exemple : L'étiquette awswaf:managed:captcha:absent indique que la demande ne contient pas le jeton.

Étiquettes DDo anti-S

Le groupe de règles gérées Anti- DDo S génère des étiquettes avec le préfixe d'espace de noms awswaf:managed:aws:anti-ddos: suivi de tout espace de noms personnalisé et du nom de l'étiquette. Chaque étiquette reflète certains aspects des résultats DDo anti-S.

Le groupe de règles peut ajouter plusieurs des libellés suivants à une demande, en plus des libellés ajoutés par des règles individuelles.

  • awswaf:managed:aws:anti-ddos:event-detected— Indique que la demande est destinée à une ressource protégée pour laquelle le groupe de règles géré détecte un événement DDo S. Le groupe de règles géré détecte les événements lorsque le trafic vers la ressource présente un écart significatif par rapport à la ligne de base de trafic de la ressource.

    Le groupe de règles ajoute cette étiquette à chaque demande envoyée à la ressource lorsqu'elle est dans cet état, de sorte que le trafic légitime et le trafic d'attaque obtiennent cette étiquette.

  • awswaf:managed:aws:anti-ddos:ddos-request— Indique que la demande provient d'une source suspectée de participer à un événement.

    Outre l'étiquette générale, le groupe de règles ajoute les étiquettes suivantes qui indiquent le niveau de confiance.

    awswaf:managed:aws:anti-ddos:low-suspicion-ddos-request— Indique une demande d'attaque DDo S probable.

    awswaf:managed:aws:anti-ddos:medium-suspicion-ddos-request— Indique une demande d'attaque DDo S très probable.

    awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request— Indique une demande d'attaque DDo S très probable.

  • awswaf:managed:aws:anti-ddos:challengeable-request— Indique que l'URI de la demande est capable de gérer l'Challengeaction. Le groupe de règles géré l'applique à toute demande dont l'URI n'est pas exemptée. URIs sont exemptés s'ils correspondent aux expressions régulières d'URI exemptées du groupe de règles.

    Pour plus d'informations sur les exigences relatives aux requêtes susceptibles de relever le défi d'un navigateur silencieux, consultezCAPTCHAet comportement Challenge d'action.

Vous pouvez récupérer toutes les étiquettes d'un groupe de règles via l'API en appelantDescribeManagedRuleGroup. Les étiquettes sont répertoriées dans la AvailableLabels propriété de la réponse.

Le groupe de règles gérées Anti- DDo S applique des libellés aux demandes, mais n'agit pas toujours en conséquence. La gestion des demandes dépend de la confiance avec laquelle le groupe de règles détermine la participation à une attaque. Si vous le souhaitez, vous pouvez gérer les demandes que le groupe de règles labellise en ajoutant une règle de correspondance d'étiquettes qui s'exécute après le groupe de règles. Pour plus d'informations à ce sujet et pour des exemples, consultezAWS WAF Prévention du déni de service distribué (DDoS).

Liste des règles DDo anti-S

Cette section répertorie les règles DDo anti-S.

Note

Cette documentation couvre la version statique la plus récente de ce groupe de règles géré. Nous signalons les modifications de version dans le journal des modifications à l'adresse. AWS Journal des modifications des règles gérées Pour plus d'informations sur les autres versions, utilisez la commande API DescribeManagedRuleGroup.

Les informations que nous publions concernant les règles des groupes de règles AWS gérées visent à vous fournir les informations dont vous avez besoin pour utiliser les règles sans donner aux acteurs malveillants ce dont ils ont besoin pour les contourner.

Si vous avez besoin de plus d'informations que celles que vous trouverez ici, contactez le AWS Support Centre.

Nom de la règle Description
ChallengeAllDuringEvent

Correspond aux demandes portant l'awswaf:managed:aws:anti-ddos:challengeable-requestétiquette de toute ressource protégée actuellement attaquée.

Action de la règle Challenge

Vous ne pouvez remplacer cette action de règle que par Allow ouCount. L'utilisation de n'Allowest pas recommandée. Quel que soit le paramètre d'action d'une règle, la règle ne correspond qu'aux demandes challengeable-request portant l'étiquette.

La configuration de cette règle influe sur l'évaluation de la règle suivante,ChallengeDDoSRequests. AWS WAF évalue cette règle uniquement lorsque l'action associée à cette règle est définie surCount, dans la configuration du groupe de règles géré par l'ACL Web.

Si votre charge de travail est vulnérable à des variations inattendues du volume de demandes, nous vous recommandons de contester toutes les demandes contestables, en conservant le paramètre d'action par défaut deChallenge. Pour les applications moins sensibles, vous pouvez définir l'action de cette règle sur, Count puis ajuster la sensibilité de vos Challenge réponses en fonction de la règleChallengeDDoSRequests.

Étiquettes : awswaf:managed:aws:anti-ddos:ChallengeAllDuringEvent

ChallengeDDoSRequests

Correspond aux demandes pour une ressource protégée qui respectent ou dépassent le paramètre de sensibilité aux défis configuré du groupe de règles, pendant les périodes où la ressource est attaquée.

Action de la règle Challenge

Vous ne pouvez remplacer cette action de règle que par Allow ouCount. L'utilisation de n'Allowest pas recommandée. Dans tous les cas, la règle ne correspond qu'aux demandes challengeable-request portant l'étiquette.

AWS WAF n'évalue cette règle que si vous remplacez l'action par celle de Count la règle précédente,. ChallengeAllDuringEvent

Étiquettes : awswaf:managed:aws:anti-ddos:ChallengeDDoSRequests

DDoSRequests

Correspond aux demandes pour une ressource protégée qui respectent ou dépassent le paramètre de sensibilité aux blocs configuré du groupe de règles, pendant les périodes où la ressource est attaquée.

Action de la règle Block

Étiquettes : awswaf:managed:aws:anti-ddos:DDoSRequests