AWS WAF Kelompok aturan pencegahan Denial of Service (DDoS) Terdistribusi - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, dan direktur keamanan AWS Shield jaringan
Menggunakan grup aturan iniLabel ditambahkan oleh grup aturan iniDaftar aturan

Memperkenalkan pengalaman konsol baru untuk AWS WAF

Anda sekarang dapat menggunakan pengalaman yang diperbarui untuk mengakses AWS WAF fungsionalitas di mana saja di konsol. Untuk detail selengkapnya, lihat Bekerja dengan pengalaman konsol yang diperbarui.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS WAF Kelompok aturan pencegahan Denial of Service (DDoS) Terdistribusi

Bagian ini menjelaskan grup aturan AWS WAF terkelola untuk perlindungan terhadap serangan Distributed Denial of Service (DDoS).

VendorName:AWS, Nama:AWSManagedRulesAntiDDoSRuleSet, WCU: 50

catatan

Dokumentasi ini mencakup rilis versi statis terbaru dari grup aturan terkelola ini. Kami melaporkan perubahan versi di log changelog di. AWS Aturan Terkelola changelog Untuk informasi tentang versi lain, gunakan perintah API DescribeManagedRuleGroup.

Informasi yang kami terbitkan untuk aturan dalam kelompok aturan Aturan AWS Terkelola dimaksudkan untuk memberi Anda apa yang Anda butuhkan untuk menggunakan aturan tanpa memberi aktor jahat apa yang mereka butuhkan untuk menghindari aturan.

Jika Anda membutuhkan informasi lebih lanjut daripada yang Anda temukan di sini, hubungi AWS Dukungan Pusat.

Grup aturan terkelola Anti- DDo S menyediakan aturan yang mendeteksi dan mengelola permintaan yang berpartisipasi atau kemungkinan berpartisipasi dalam serangan DDo S. Selain itu, grup aturan memberi label pada semua permintaan yang dievaluasi selama peristiwa yang mungkin terjadi.

Pertimbangan untuk menggunakan grup aturan ini

Grup aturan ini menyediakan mitigasi lunak dan keras untuk permintaan web yang datang ke sumber daya yang berada di bawah DDo serangan S. Untuk mendeteksi tingkat ancaman yang berbeda, Anda dapat menyesuaikan sensitivitas kedua jenis mitigasi ke tingkat kecurigaan tinggi, sedang, atau rendah.

  • Mitigasi lunak - Grup aturan dapat mengirim tantangan browser senyap sebagai tanggapan atas permintaan yang dapat menangani tantangan pengantara. Untuk informasi tentang persyaratan untuk menjalankan tantangan, lihatCAPTCHAdan perilaku Challenge tindakan.

  • Mitigasi keras - Grup aturan dapat memblokir permintaan sama sekali.

Untuk informasi selengkapnya tentang cara kerja grup aturan dan cara mengonfigurasinya, lihatPerlindungan DDo Anti-S tingkat lanjut menggunakan grup aturan terkelola AWS WAF Anti- DDo S.

catatan

Anda akan dikenakan biaya tambahan saat menggunakan grup aturan terkelola ini. Untuk informasi selengkapnya, silakan lihat Harga AWS WAF.

Kelompok aturan ini adalah bagian dari perlindungan mitigasi ancaman cerdas di. AWS WAF Untuk informasi, lihat Mitigasi ancaman cerdas di AWS WAF.

Untuk meminimalkan biaya dan mengoptimalkan manajemen lalu lintas, gunakan kelompok aturan ini sesuai dengan pedoman praktik terbaik. Lihat, Praktik terbaik untuk mitigasi ancaman cerdas di AWS WAF.

Label ditambahkan oleh grup aturan ini

Grup aturan terkelola ini menambahkan label ke permintaan web yang dievaluasi, yang tersedia untuk aturan yang berjalan setelah grup aturan ini di paket perlindungan Anda (web ACL). AWS WAF juga mencatat label ke CloudWatch metrik Amazon. Untuk informasi umum tentang label dan metrik label, lihat Pelabelan permintaan web danLabel metrik dan dimensi.

Label token

Grup aturan ini menggunakan manajemen AWS WAF token untuk memeriksa dan memberi label permintaan web sesuai dengan status AWS WAF token mereka. AWS WAF menggunakan token untuk pelacakan dan verifikasi sesi klien.

Untuk informasi tentang token dan manajemen token, lihatPenggunaan token dalam AWS WAF mitigasi ancaman cerdas.

Untuk informasi tentang komponen label yang dijelaskan di sini, lihatSintaks label dan persyaratan penamaan di AWS WAF.

Label sesi klien

Label awswaf:managed:token:id:identifier berisi pengenal unik yang digunakan manajemen AWS WAF token untuk mengidentifikasi sesi klien. Pengidentifikasi dapat berubah jika klien memperoleh token baru, misalnya setelah membuang token yang digunakannya.

catatan

AWS WAF tidak melaporkan CloudWatch metrik Amazon untuk label ini.

Label sidik jari browser

Label awswaf:managed:token:fingerprint:fingerprint-identifier berisi pengidentifikasi sidik jari browser yang kuat yang dihitung oleh manajemen AWS WAF token dari berbagai sinyal browser klien. Pengidentifikasi ini tetap sama di beberapa upaya akuisisi token. Pengidentifikasi sidik jari tidak unik untuk satu klien.

catatan

AWS WAF tidak melaporkan CloudWatch metrik Amazon untuk label ini.

Label status token: Awalan namespace label

Label status token melaporkan status token dan tantangan serta informasi CAPTCHA yang dikandungnya.

Setiap label status token dimulai dengan salah satu awalan namespace berikut:

  • awswaf:managed:token:— Digunakan untuk melaporkan status umum token dan melaporkan status informasi tantangan token.

  • awswaf:managed:captcha:— Digunakan untuk melaporkan status informasi CAPTCHA token.

Label status token: Nama label

Mengikuti awalan, sisa label memberikan informasi status token terperinci:

  • accepted— Token permintaan hadir dan berisi yang berikut:

    • Tantangan yang valid atau solusi CAPTCHA.

    • Tantangan yang belum kedaluwarsa atau cap waktu CAPTCHA.

    • Spesifikasi domain yang valid untuk paket perlindungan (web ACL).

    Contoh: Label awswaf:managed:token:accepted menunjukkan bahwa token permintaan web memiliki solusi tantangan yang valid, stempel waktu tantangan yang belum kedaluwarsa, dan domain yang valid.

  • rejected— Token permintaan ada tetapi tidak memenuhi kriteria penerimaan.

    Seiring dengan label yang ditolak, manajemen token menambahkan namespace dan nama label khusus untuk menunjukkan alasannya.

    • rejected:not_solved— Token tidak memiliki tantangan atau solusi CAPTCHA.

    • rejected:expired— Tantangan token atau cap waktu CAPTCHA telah kedaluwarsa, sesuai dengan waktu kekebalan token yang dikonfigurasi paket perlindungan (web ACL) Anda.

    • rejected:domain_mismatch— Domain token tidak cocok untuk konfigurasi domain token paket perlindungan (web ACL) Anda.

    • rejected:invalid— AWS WAF tidak bisa membaca token yang ditunjukkan.

    Contoh: Label awswaf:managed:captcha:rejected dan awswaf:managed:captcha:rejected:expired bersama-sama menunjukkan bahwa permintaan tidak memiliki penyelesaian CAPTCHA yang valid karena cap waktu CAPTCHA dalam token telah melebihi waktu kekebalan token CAPTCHA yang dikonfigurasi dalam paket perlindungan (web ACL).

  • absent— Permintaan tidak memiliki token atau manajer token tidak dapat membacanya.

    Contoh: Label awswaf:managed:captcha:absent menunjukkan bahwa permintaan tidak memiliki token.

Label DDo anti-S

Grup aturan terkelola Anti- DDo S menghasilkan label dengan awalan namespace awswaf:managed:aws:anti-ddos: diikuti oleh namespace khusus dan nama label. Setiap label mencerminkan beberapa aspek dari temuan DDo Anti-S.

Grup aturan dapat menambahkan lebih dari satu label berikut ke permintaan, selain label yang ditambahkan oleh aturan individual.

  • awswaf:managed:aws:anti-ddos:event-detected— Menunjukkan bahwa permintaan akan ke sumber daya yang dilindungi dimana grup aturan terkelola mendeteksi peristiwa DDo S. Kelompok aturan terkelola mendeteksi peristiwa ketika lalu lintas ke sumber daya memiliki penyimpangan yang signifikan dari garis dasar lalu lintas sumber daya.

    Grup aturan menambahkan label ini ke setiap permintaan yang masuk ke sumber daya saat berada dalam status ini, sehingga lalu lintas yang sah dan lalu lintas serangan mendapatkan label ini.

  • awswaf:managed:aws:anti-ddos:ddos-request— Menunjukkan bahwa permintaan tersebut berasal dari sumber yang dicurigai berpartisipasi dalam suatu acara.

    Selain label umum, grup aturan menambahkan label berikut yang menunjukkan tingkat kepercayaan.

    awswaf:managed:aws:anti-ddos:low-suspicion-ddos-request— Menunjukkan kemungkinan permintaan serangan DDo S.

    awswaf:managed:aws:anti-ddos:medium-suspicion-ddos-request— Menunjukkan permintaan serangan DDo S yang sangat mungkin.

    awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request— Menunjukkan permintaan serangan DDo S yang sangat mungkin.

  • awswaf:managed:aws:anti-ddos:challengeable-request— Menunjukkan bahwa URI permintaan mampu menangani Challenge tindakan. Grup aturan terkelola menerapkan ini untuk setiap permintaan yang URI tidak dikecualikan. URIs dikecualikan jika mereka cocok dengan ekspresi reguler URI yang dikecualikan grup aturan.

    Untuk informasi tentang persyaratan permintaan yang dapat mengambil tantangan browser senyap, lihatCAPTCHAdan perilaku Challenge tindakan.

Anda dapat mengambil semua label untuk grup aturan melalui API dengan meneleponDescribeManagedRuleGroup. Label tercantum di AvailableLabels properti dalam tanggapan.

Grup aturan terkelola Anti- DDo S menerapkan label ke permintaan, tetapi tidak selalu menindaklanjutinya. Manajemen permintaan tergantung pada kepercayaan yang dengannya kelompok aturan menentukan partisipasi dalam serangan. Jika mau, Anda dapat mengelola permintaan yang diberi label grup aturan dengan menambahkan aturan pencocokan label yang berjalan setelah grup aturan. Untuk informasi lebih lanjut tentang ini dan contoh, lihatAWS WAF Pencegahan Penolakan Layanan (DDoS) Terdistribusi.

Daftar aturan DDo anti-S

Bagian ini mencantumkan aturan DDo Anti-S.

catatan

Dokumentasi ini mencakup rilis versi statis terbaru dari grup aturan terkelola ini. Kami melaporkan perubahan versi di log changelog di. AWS Aturan Terkelola changelog Untuk informasi tentang versi lain, gunakan perintah API DescribeManagedRuleGroup.

Informasi yang kami terbitkan untuk aturan dalam kelompok aturan Aturan AWS Terkelola dimaksudkan untuk memberi Anda apa yang Anda butuhkan untuk menggunakan aturan tanpa memberi aktor jahat apa yang mereka butuhkan untuk menghindari aturan.

Jika Anda membutuhkan informasi lebih lanjut daripada yang Anda temukan di sini, hubungi AWS Dukungan Pusat.

Nama aturan Deskripsi
ChallengeAllDuringEvent

Mencocokkan permintaan yang memiliki label awswaf:managed:aws:anti-ddos:challengeable-request untuk sumber daya yang dilindungi yang saat ini sedang diserang.

Tindakan aturan: Challenge

Anda hanya dapat mengganti tindakan aturan ini ke Allow atauCount. Penggunaan tidak Allow dianjurkan. Untuk setelan tindakan aturan apa pun, aturan hanya cocok dengan permintaan yang memiliki challengeable-request label.

Konfigurasi aturan ini mempengaruhi evaluasi aturan berikutnya,ChallengeDDoSRequests. AWS WAF hanya mengevaluasi aturan tersebut ketika tindakan untuk aturan ini telah menimpa disetel keCount, dalam konfigurasi ACL web dari grup aturan terkelola.

Jika beban kerja Anda rentan terhadap perubahan volume permintaan yang tidak terduga, kami sarankan untuk menantang semua permintaan yang dapat ditantang, dengan menjaga pengaturan tindakan default. Challenge Untuk aplikasi yang kurang sensitif, Anda dapat mengatur tindakan untuk aturan ini Count dan kemudian menyetel sensitivitas Challenge respons Anda dengan aturanChallengeDDoSRequests.

Label: awswaf:managed:aws:anti-ddos:ChallengeAllDuringEvent

ChallengeDDoSRequests

Mencocokkan permintaan untuk sumber daya yang dilindungi yang memenuhi atau melampaui pengaturan sensitivitas tantangan yang dikonfigurasi grup aturan, selama sumber daya diserang.

Tindakan aturan: Challenge

Anda hanya dapat mengganti tindakan aturan ini ke Allow atauCount. Penggunaan tidak Allow dianjurkan. Bagaimanapun, aturan hanya cocok dengan permintaan yang memiliki challengeable-request label.

AWS WAF hanya mengevaluasi aturan ini jika Anda mengganti tindakan Count dalam aturan sebelumnya,. ChallengeAllDuringEvent

Label: awswaf:managed:aws:anti-ddos:ChallengeDDoSRequests

DDoSRequests

Mencocokkan permintaan untuk sumber daya yang dilindungi yang memenuhi atau melampaui pengaturan sensitivitas blok yang dikonfigurasi grup aturan, selama sumber daya diserang.

Tindakan aturan: Block

Label: awswaf:managed:aws:anti-ddos:DDoSRequests