AWS WAF の新しいコンソールエクスペリエンスのご紹介
更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスを使用する」を参照してください。
SRT による DDoS 攻撃に対するカスタム緩和策の設定
このページでは、SRT を使用して DDoS 攻撃に対するカスタム緩和策を構築する手順を示します。
Elastic IP (EIP) と AWS Global Accelerator 標準アクセタレーターの場合、Shield Response Team (SRT) と協力して、カスタム緩和策を設定できます。これは、緩和の導入時に適用すべき特定のロジックがわかっている場合に便利です。例えば、特定の国からのトラフィックのみを許可する、特定のレート制限を適用する、オプションの検証を設定する、フラグメントを許可しない、パケットペイロードの特定のパターンに一致するトラフィックのみを許可する、などの設定が可能です。
一般的なカスタム緩和の例には、次のようなものがあります。
-
パターンが一致 - クライアントサイドアプリケーションとやり取りするサービスを運用する場合、それらのアプリケーションに固有の既知のパターンを照合するように選択できます。例えば、お客様が配布する特定のソフトウェアをエンドユーザーがインストールする必要があるゲームまたは通信サービスを運用する場合があります。アプリケーションがサービスに送信するすべてのパケットにマジックナンバーを含めることができます。フラグメント化されていない TCP または UDP パケットペイロードおよびヘッダーを最大 128 バイト(個別または連続)まで照合できます。一致は、パケットペイロードの先頭からの特定のオフセット、または既知の値に続くダイナミックオフセットとして 16 進表記で表すことができます。たとえば、緩和はバイト
0x01を探すことができ、次の 4 バイトとして0x12345678が予測されます。 -
DNS 固有 — グローバルアクセラレータや Amazon Elastic Compute Cloud (Amazon EC2) などのサービスを使用して独自の権威ある DNS サービスを運用する場合、パケットが有効な DNS クエリであることを確認し、DNS トラフィックに固有の特定の属性を評価する疑惑スコアリングを適用するパケットを検証するカスタム緩和をリクエストできます。
SRT でのカスタム緩和策の構築に関する問い合わせは、AWS Shield でサポートケースを作成します。AWS サポート のケースの作成に関する詳細については、「AWS サポート の開始方法」を参照してください。
