AWS WAF の新しいコンソールエクスペリエンスのご紹介
更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスを使用する」を参照してください。
AWS WAF 分散型サービス拒否 (DDoS) 防止ルールグループ
このセクションでは、分散型サービス拒否 (DDoS) 攻撃に対する保護の AWS WAF マネージドルールグループについて説明します。
VendorName: AWS、名前: AWSManagedRulesAntiDDoSRuleSet
注記
このドキュメントでは、このマネージドルールグループの最新の静的バージョンリリースについて説明します。バージョンの変更は、AWS マネージドルール変更ログ の変更ログにレポートされます。他のバージョンの情報については、API コマンド DescribeManagedRuleGroup を使用してください。
AWS マネージドルールのルールグループでのルールに関して公開される情報は、悪意のある人物にルールを回避するために必要なものを提供するのではなく、お客様にルールを使用するために必要なものを提供することを目的としています。
ここに記載されている以上の情報が必要な場合は、AWS サポート センター
DDoS 対策マネージドルールグループは、DDoS 攻撃に関与しているか、その可能性が高いリクエストを検出して管理するルールを提供します。さらに、ルールグループは、可能性の高いイベント中に評価されるすべてのリクエストにラベルを付けます。
このルールグループの使用に関する考慮事項
このルールグループは、DDoS 攻撃を受けているリソースに送信されるウェブリクエストをソフトかつハードに軽減します。さまざまな脅威レベルを検出するには、両方の緩和タイプの機密性を高、中、または低の疑惑レベルに調整できます。
ソフトな軽減 — ルールグループは、チャレンジインタースティシャルを処理できるリクエストに応答して、サイレントブラウザチャレンジを送信できます。チャレンジを実行するための要件については、「CAPTCHA および Challenge アクション動作」を参照してください。
ハードな軽減 — ルールグループはリクエストを完全にブロックできます。
ルールグループの動作方法とその設定方法の詳細については、「DDoS 対策マネージドルールグループを使用した高度な AWS WAF DDoS 対策保護」を参照してください。
注記
このマネージドルールグループを使用する場合、追加料金が請求されます。詳細については、AWS WAF の料金
このルールグループは、AWS WAF でのインテリジェントな脅威の軽減保護の一部です。詳細については、「AWS WAF でのインテリジェントな脅威の軽減」を参照してください。
コストを最小限に抑え、トラフィック管理を最適化するには、ベストプラクティスガイドラインに従ってこのルールグループを使用します。「AWS WAF におけるインテリジェントな脅威を軽減するためのベストプラクティス」を参照してください。
このルールグループによって追加されるラベル
このマネージドルールグループは、評価対象のウェブリクエストに保護パック (ウェブ ACL) 内のこのルールグループの後に実行されるルールでも使用できるラベルを追加します。AWS WAF は、Amazon CloudWatch メトリクスにもラベルを記録します。ラベルとラベルメトリクスに関する一般的な情報については、「ウェブリクエストのラベル付け」および「ラベルメトリクスとディメンション」を参照してください。
トークンラベル
このルールグループは AWS WAF トークン管理を使用し、AWS WAF トークンのステータスに従ってウェブリクエストを検査してラベルを付けます。AWS WAF はクライアントセッションの追跡および検証にトークンを使用します。
トークンおよびトークンの管理の詳細については、「AWS WAF インテリジェントな脅威の軽減におけるトークンの使用」を参照してください。
ここで説明するラベルコンポーネントについては、「AWS WAF でのラベル構文と命名要件」を参照してください。
クライアントセッションラベル
ラベル awswaf:managed:token:id: には、AWS WAF のトークン管理がクライアントセッションを識別するために使用する固有の識別子が含まれています。この識別子は、クライアントが使用していたトークンを破棄した後など、新しいトークンを取得すると変わる可能性があります。identifier
注記
AWS WAF によって、このラベルの Amazon CloudWatch メトリクスは報告されません。
ブラウザフィンガープリントラベル
ラベル awswaf:managed:token:fingerprint: には、AWS WAF トークン管理がさまざまなクライアントブラウザシグナルから計算する堅牢なブラウザフィンガープリント識別子が含まれています。この識別子は、複数のトークン取得の試行全体で同じままです。フィンガープリント識別子は、単一のクライアントに対して一意ではありません。fingerprint-identifier
注記
AWS WAF によって、このラベルの Amazon CloudWatch メトリクスは報告されません。
トークンステータスラベル: ラベル名前空間プレフィックス
トークンステータスラベルは、トークン、チャレンジのステータス、およびそれに含まれる CAPTCHA 情報を報告します。
各トークンステータスラベルは、次のプレフィクスの 1 つで始まります。
awswaf:managed:token:— トークンの一般的なステータスを報告したり、トークンのチャレンジ情報のステータスを報告したりするために使用されます。awswaf:managed:captcha:— トークンの CAPTCHA 情報のステータスを報告するために使用されます。
トークンステータスラベル: ラベル名
プレフィックスに続いて、ラベルの残りの部分には詳細なトークンステータス情報が表示されます。
accepted- リクエストトークンが存在し、以下の内容が含まれています。有効なチャレンジまたは CAPTCHA ソリューション。
有効期限が切れていないチャレンジまたは CAPTCHA タイムスタンプ。
保護パック (ウェブ ACL) に有効なドメイン仕様。
例: ラベル
awswaf:managed:token:acceptedには、ウェブリクエストのトークンに有効なチャレンジソリューション、有効期限が切れていないチャレンジタイムスタンプ、および有効なドメインがあることが示されています。-
rejected- リクエストトークンは存在するが、承認基準を満たしていない。トークン管理では、拒否されたラベルに加えて、理由を示すカスタムラベル名前空間と名前が追加されます。
rejected:not_solved— トークンにチャレンジまたは CAPTCHA ソリューションがない。rejected:expired— 保護パック (ウェブ ACL) に設定されているトークンイミュニティ時間によると、トークンのチャレンジまたは CAPTCHA タイムスタンプの有効期限が切れている。rejected:domain_mismatch— トークンのドメインが、保護パック (ウェブ ACL) のトークンドメイン設定と一致しない。rejected:invalid— AWS WAF が指定されたトークンを読み取れなかった。
例: ラベル
awswaf:managed:captcha:rejectedとawswaf:managed:captcha:rejected:expiredとともに、トークンの CAPTCHA タイムスタンプがウェブ ACL で設定されている CAPTCHA トークンのイミュニティ時間を超えたために、リクエストには有効な CAPTCHA 解決がなかったことが示されています。 -
absent— リクエストにトークンがないか、トークンマネージャーがそれを読み取れなかった。例: ラベル
awswaf:managed:captcha:absentには、リクエストにトークンがないことが示されています。
DDoS 対策ラベル
DDoS 対策マネージドルールグループは、名前空間プレフィックス awswaf:managed:aws:anti-ddos: が付いたラベルを生成し、その後にカスタム名前空間およびラベル名が付いたラベルを生成します。各ラベルには、DDoS 対策の検出結果の一部が反映されています。
ルールグループは、個々のルールによって追加されるラベルに加えて、次のラベルをリクエストに複数追加できます。
-
awswaf:managed:aws:anti-ddos:event-detected– マネージドルールグループが DDoS イベントを検出する保護されたリソースにリクエストが送信されることを示します。マネージドルールグループは、リソースへのトラフィックがリソースのトラフィックベースラインから大幅に逸脱した場合にイベントを検出します。ルールグループは、この状態のリソースに送信されるすべてのリクエストにこのラベルを追加するため、正当なトラフィックと攻撃トラフィックはこのラベルを取得します。
-
awswaf:managed:aws:anti-ddos:ddos-request– リクエストがイベントに参加している疑いのあるソースからのものであることを示します。ルールグループは、一般ラベルに加えて、信頼度を示す次のラベルを追加します。
awswaf:managed:aws:anti-ddos:low-suspicion-ddos-request– DDoS 攻撃の可能性があるリクエストを示します。awswaf:managed:aws:anti-ddos:medium-suspicion-ddos-request– DDoS 攻撃の可能性が高いリクエストを示します。awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request– DDoS 攻撃の可能性が非常に高いリクエストを示します。 -
awswaf:managed:aws:anti-ddos:challengeable-request– リクエスト URI が Challenge アクションを処理できることを示します。マネージドルールグループは、URI が除外されていないすべてのリクエストにこれを適用します。URI は、ルールグループの除外 URI 正規表現と一致する場合、除外されます。サイレントブラウザチャレンジを実行できるリクエストの要件については、「CAPTCHA および Challenge アクション動作」を参照してください。
DescribeManagedRuleGroup を呼び出すことにより、API を介してルールグループのすべてのラベルを取得できます。ラベルは、応答の AvailableLabels プロパティにリストされています。
DDoS 対策マネージドルールグループは、リクエストにラベルを適用しますが、必ずしもそれらに対して対応するとは限りません。リクエスト管理は、ルールグループが攻撃への参加を決定する信頼度によって異なります。必要に応じて、ルールグループの後に実行されるラベル一致ルールを追加して、ルールグループがラベル付けするリクエストを管理できます。これと例の詳細については、「AWS WAF 分散型サービス拒否 (DDoS) の防止」を参照してください。
DDoS 対策ルールのリスト
このセクションでは、DDoS 対策ルールを一覧表示します。
注記
このドキュメントでは、このマネージドルールグループの最新の静的バージョンリリースについて説明します。バージョンの変更は、AWS マネージドルール変更ログ の変更ログにレポートされます。他のバージョンの情報については、API コマンド DescribeManagedRuleGroup を使用してください。
AWS マネージドルールのルールグループでのルールに関して公開される情報は、悪意のある人物にルールを回避するために必要なものを提供するのではなく、お客様にルールを使用するために必要なものを提供することを目的としています。
ここに記載されている以上の情報が必要な場合は、AWS サポート センター
| ルール名 | 説明 |
|---|---|
ChallengeAllDuringEvent |
現在攻撃を受けている保護されたリソースのラベル ルールアクション: Challenge このルールアクションは、Allow または Count にのみ上書きできます。Allow の使用はお勧めしません。ルールアクション設定では、ルールは このルールの設定は、次のルール ワークロードが予期しないリクエストボリュームの変更に対して脆弱である場合は、デフォルトのアクション設定を Challenge のままにして、すべてのチャレンジ可能なリクエストにチャレンジすることをお勧めします。機密性の低いアプリケーションでは、このルールの Count に対するアクションを に設定し、ルール ラベル: |
ChallengeDDoSRequests |
リソースが攻撃されている間に、ルールグループの設定されたチャレンジ感度設定を満たすか超える保護されたリソースのリクエストに一致します。 ルールアクション: Challenge このルールアクションは、Allow または Count にのみ上書きできます。Allow の使用はお勧めしません。いずれの場合も、ルールは AWS WAF は、前のルール Count で アクションを ラベル: |
DDoSRequests |
リソースが攻撃されている間に、ルールグループの設定されたブロック感度設定を満たすか超える保護されたリソースのリクエストに一致します。 ルールアクション: Block ラベル: |
