の新しいコンソールエクスペリエンスの紹介 AWS WAF
更新されたエクスペリエンスを使用して、 コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスの使用」を参照してください。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS WAF 分散サービス拒否 (DDoS) 防止ルールグループ
このセクションでは、分散型サービス拒否 (DDoS) 攻撃に対する保護の AWS WAF マネージドルールグループについて説明します。
VendorName: AWS、名前: AWSManagedRulesAntiDDoSRuleSet
注記
このドキュメントでは、このマネージドルールグループの最新の静的バージョンリリースについて説明します。バージョンの変更は、 の変更ログにレポートされますAWS マネージドルールの変更ログ。他のバージョンについては、 API コマンド DescribeManagedRuleGroup を使用します。
AWS マネージドルールルールのルールグループでルール用に公開する情報は、ルールを回避するために必要なものを不正なアクターに与えることなく、ルールを使用するために必要なものを提供することを目的としています。
ここに記載されている情報よりも詳細な情報が必要な場合は、 AWS サポート センター
Anti-DDoS マネージドルールグループは、DDoS 攻撃に参加している、または参加している可能性が高いリクエストを検出して管理するルールを提供します。さらに、ルールグループは、推定イベント中に評価されるすべてのリクエストにラベルを付けます。
このルールグループの使用に関する考慮事項
このルールグループは、DDoS 攻撃を受けているリソースに送信されるウェブリクエストをソフトかつハードに軽減します。さまざまな脅威レベルを検出するには、両方の緩和タイプの機密性を疑惑レベルの上限、中、または下限に調整できます。
ソフト緩和 — ルールグループは、チャレンジインタースティシャルを処理できるリクエストに応答して、サイレントブラウザチャレンジを送信できます。チャレンジを実行するための要件については、「」を参照してくださいCAPTCHA および Challenge アクション動作。
ハード緩和 — ルールグループはリクエストを完全にブロックできます。
ルールグループの仕組みと設定方法の詳細については、「」を参照してくださいAnti-DDoS マネージドルールグループを使用した高度な AWS WAF Anti-DDoS 保護。
注記
このマネージドルールグループを使用する場合、追加料金が請求されます。詳細については、「AWS WAF 料金
このルールグループは、 AWS WAFでのインテリジェントな脅威の軽減保護の一部です。詳細については、「でのインテリジェントな脅威の軽減 AWS WAF」を参照してください。
コストを最小限に抑え、トラフィック管理を最適化するには、ベストプラクティスガイドラインに従ってこのルールグループを使用します。「でのインテリジェントな脅威軽減のベストプラクティス AWS WAF」を参照してください。
このルールグループによって追加されるラベル
このマネージドルールグループは、評価するウェブリクエストにラベルを追加します。これは、保護パックまたはウェブ ACL でこのルールグループの後に実行されるルールで使用できます。 AWS WAF はAmazon CloudWatch メトリクスにもラベルを記録します。ラベルとラベルメトリクスに関する一般的な情報については、「ウェブリクエストのラベル付け」および「ラベルメトリクスとディメンション」を参照してください。
トークンラベル
このルールグループは、 AWS WAF トークン管理を使用して、 AWS WAF トークンのステータスに従ってウェブリクエストを検査し、ラベル付けします。 は、クライアントセッションの追跡と検証にトークン AWS WAF を使用します。
トークンおよびトークンの管理の詳細については、「AWS WAF インテリジェントな脅威の軽減におけるトークンの使用」を参照してください。
ここで説明するラベルコンポーネントについては、「でのラベル構文と命名要件 AWS WAF」を参照してください。
クライアントセッションラベル
ラベルには、 AWS WAF トークン管理がクライアントセッションを識別するために使用する一意の識別子awswaf:managed:token:id:が含まれています。この識別子は、クライアントが使用していたトークンを破棄した後など、新しいトークンを取得すると変わる可能性があります。identifier
注記
AWS WAF は、このラベルの Amazon CloudWatch メトリクスを報告しません。
ブラウザフィンガープリントラベル
ラベルには、 AWS WAF トークン管理がさまざまなクライアントブラウザシグナルから計算する堅牢なブラウザフィンガープリント識別子awswaf:managed:token:fingerprint:が含まれています。この識別子は、複数のトークン取得試行にわたって同じままです。フィンガープリント識別子は 1 つのクライアントに一意ではありません。fingerprint-identifier
注記
AWS WAF は、このラベルの Amazon CloudWatch メトリクスを報告しません。
トークンステータスラベル: ラベル名前空間プレフィックス
トークンステータスラベルは、トークン、チャレンジのステータス、およびそれに含まれる CAPTCHA 情報を報告します。
各トークンステータスラベルは、次のプレフィクスの 1 つで始まります。
awswaf:managed:token:— トークンの一般的なステータスを報告したり、トークンのチャレンジ情報のステータスを報告したりするために使用されます。awswaf:managed:captcha:— トークンの CAPTCHA 情報のステータスを報告するために使用されます。
トークンステータスラベル: ラベル名
プレフィックスに続いて、ラベルの残りの部分には詳細なトークンステータス情報が表示されます。
accepted- リクエストトークンが存在し、以下の内容が含まれています。有効なチャレンジまたは CAPTCHA ソリューション。
有効期限が切れていないチャレンジまたは CAPTCHA タイムスタンプ。
保護パックまたはウェブ ACL に有効なドメイン仕様。
例: ラベル
awswaf:managed:token:acceptedには、ウェブリクエストのトークンに有効なチャレンジソリューション、有効期限が切れていないチャレンジタイムスタンプ、および有効なドメインがあることが示されています。-
rejected- リクエストトークンは存在するが、承認基準を満たしていない。トークン管理では、拒否されたラベルに加えて、理由を示すカスタムラベル名前空間と名前が追加されます。
rejected:not_solved— トークンにチャレンジまたは CAPTCHA ソリューションがない。rejected:expired– 保護パックまたはウェブ ACL で設定されたトークンイミュニティ時間に従って、トークンのチャレンジまたは CAPTCHA タイムスタンプの有効期限が切れています。rejected:domain_mismatch– トークンのドメインは、保護パックまたはウェブ ACL のトークンドメイン設定と一致しません。rejected:invalid– 指定されたトークンを読み取ることが AWS WAF できませんでした。
例: ラベル
awswaf:managed:captcha:rejectedと はawswaf:managed:captcha:rejected:expired、トークンの CAPTCHA タイムスタンプが保護パックまたはウェブ ACL で設定された CAPTCHA トークンイミュニティ時間を超えたため、リクエストに有効な CAPTCHA 解決がなかったことを示します。 -
absent— リクエストにトークンがないか、トークンマネージャーがそれを読み取れなかった。例: ラベル
awswaf:managed:captcha:absentには、リクエストにトークンがないことが示されています。
DDoS 対策ラベル
Anti-DDoS マネージドルールグループは、名前空間プレフィックスawswaf:managed:aws:anti-ddos:の後にカスタム名前空間とラベル名が付いたラベルを生成します。各ラベルには、DDoS 対策 DDoS の検出結果の一部が反映されています。
ルールグループは、個々のルールによって追加されたラベルに加えて、次のラベルをリクエストに複数追加する場合があります。
-
awswaf:managed:aws:anti-ddos:event-detected– マネージドルールグループが DDoS イベントを検出する保護されたリソースにリクエストが送信されることを示します。マネージドルールグループは、リソースへのトラフィックがリソースのトラフィックベースラインから大幅に逸脱した場合にイベントを検出します。ルールグループは、この状態のリソースに送信されるすべてのリクエストにこのラベルを追加するため、正当なトラフィックと攻撃トラフィックはこのラベルを取得します。
-
awswaf:managed:aws:anti-ddos:ddos-request– リクエストがイベントへの参加が疑われたソースからのものであることを示します。ルールグループは、一般ラベルに加えて、信頼度を示す次のラベルを追加します。
awswaf:managed:aws:anti-ddos:low-suspicion-ddos-request– DDoS 攻撃の可能性が高いリクエストを示します。awswaf:managed:aws:anti-ddos:medium-suspicion-ddos-request– DDoS 攻撃リクエストの可能性が非常に高いことを示します。awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request– 可能性の高い DDoS 攻撃リクエストを示します。 -
awswaf:managed:aws:anti-ddos:challengeable-request– リクエスト URI がChallengeアクションを処理できることを示します。マネージドルールグループは、URI が除外されていないすべてのリクエストにこれを適用します。URIsは、ルールグループの除外 URI 正規表現と一致する場合、除外されます。サイレントブラウザチャレンジを実行できるリクエストの要件については、「」を参照してくださいCAPTCHA および Challenge アクション動作。
DescribeManagedRuleGroup を呼び出すことにより、API を介してルールグループのすべてのラベルを取得できます。ラベルは、応答の AvailableLabels プロパティにリストされています。
Anti-DDoS マネージドルールグループは、リクエストにラベルを適用しますが、必ずしもそれらに対して動作するとは限りません。リクエスト管理は、ルールグループが攻撃への参加を決定する信頼度によって異なります。必要に応じて、ルールグループの後に実行されるラベル一致ルールを追加して、ルールグループがラベル付けするリクエストを管理できます。これと例の詳細については、「AWS WAF 分散サービス拒否 (DDoS) の防止」を参照してください。
DDoS 対策ルールのリスト
このセクションでは、DDoS 対策 DDoS ルールを一覧表示します。
注記
このドキュメントでは、このマネージドルールグループの最新の静的バージョンリリースについて説明します。バージョンの変更は、 の変更ログにレポートされますAWS マネージドルールの変更ログ。他のバージョンについては、 API コマンド DescribeManagedRuleGroup を使用します。
AWS マネージドルールルールのルールグループでルール用に公開する情報は、ルールを回避するために必要なものを不正なアクターに与えることなく、ルールを使用するために必要なものを提供することを目的としています。
ここに記載されている情報よりも詳細な情報が必要な場合は、 AWS サポート センター
| ルール名 | 説明 |
|---|---|
ChallengeAllDuringEvent |
現在攻撃を受けている保護されたリソース ルールアクション: Challenge このルールアクションは、 Allowまたは にのみ上書きできますCount。の使用はお勧めAllowしません。ルールアクション設定では、ルールは このルールの設定は、次のルールの評価に影響します ワークロードが予期しないリクエストボリュームの変更に対して脆弱である場合は、デフォルトのアクション設定を のままにして、すべてのチャレンジ可能なリクエストにチャレンジすることをお勧めしますChallenge。機密性の低いアプリケーションでは、このルールの アクションを に設定しCount、ルール を使用してChallengeレスポンスの機密性を調整できます ラベル: |
ChallengeDDoSRequests |
リソースが攻撃されている間に、ルールグループの設定されたチャレンジ感度設定を満たすか超える保護されたリソースのリクエストに一致します。 ルールアクション: Challenge このルールアクションは、 Allowまたは にのみ上書きできますCount。の使用はお勧めAllowしません。いずれの場合も、ルールは AWS WAF は、前のルール Countで アクションを にオーバーライドする場合にのみ、このルールを評価します ラベル: |
DDoSRequests |
リソースが攻撃されている間に、ルールグループが設定したブロック機密性設定を満たすか超える保護されたリソースのリクエストに一致します。 ルールアクション: Block ラベル: |
