Usando este grupo de regras Rótulos adicionados por esse grupo de regras Lista de regras

Grupo de regras de prevenção de negação de serviço distribuída (DDoS) do AWS WAF

Esta seção descreve o grupo de regras gerenciadas pela AWS WAF para a proteção contra ataques de negação de serviço distribuída (DDoS).

VendorName: AWS, Nome: AWSManagedRulesAntiDDoSRuleSet, WCU: 50

nota

Esta documentação abrange a versão estática mais recente desse grupo de regras gerenciadas. As alterações de versão são informadas no changelog em Log de alterações das regras gerenciadas da AWS. Para obter informações sobre outras versões, use o comando de API DescribeManagedRuleGroup.

As informações que publicamos sobre as regras dos grupos de regras das Regras Gerenciadas da AWS têm o objetivo de fornecer o que é necessário para você usar as regras sem fornecer a agentes mal-intencionados o que precisariam para contornar as regras.

Se precisar de mais informações, entre em contato com o AWS Support Center.

O grupo de regras gerenciadas Anti-DDoS fornece regras que detectam e gerenciam as solicitações que participam ou provavelmente participam de ataques de DDoS. Além disso, o grupo de regras rotula todas as solicitações que ele avalia durante um provável evento.

Considerações sobre o uso deste grupo de regras

Esse grupo de regras fornece atenuações flexíveis e rígidas para solicitações da Web que chegam a recursos que estão sob ataque de DDoS. Para detectar diferentes níveis de ameaça, você pode ajustar a sensibilidade de ambos os tipos de mitigação para níveis de suspeita altos, médios ou baixos.

Atenuação flexível: o grupo de regras pode enviar desafios silenciosos ao navegador em resposta a solicitações que podem lidar com o desafio intersticial. Para obter informações sobre os requisitos para executar o desafio, consulte Comportamento de ações CAPTCHA e Challenge.
Atenuação rígida: o grupo de regras pode bloquear completamente as solicitações.

Para obter mais informações sobre como o grupo de regras funciona e como configurá-lo, consulte Proteção anti-DDoS avançada usando o grupo de regras gerenciadas anti-DDoS do AWS WAF.

nota

Você paga taxas adicionais ao usar esse grupo de regras gerenciadas. Para obter mais informações, consulte Preços do AWS WAF.

Esse grupo de regras faz parte das proteções de mitigação de ameaças inteligentes em AWS WAF. Para mais informações, consulte Mitigação de ameaças inteligentes no AWS WAF.

Para minimizar os custos e otimizar o gerenciamento de tráfego, use esse grupo de regras de acordo com as diretrizes de melhores práticas. Consulte , Práticas recomendadas para mitigação de ameaças inteligentes no AWS WAF.

Rótulos adicionados por esse grupo de regras

Esse grupo de regras gerenciadas adiciona rótulos às solicitações da Web que avalia, os quais estão disponíveis para as regras executadas após esse grupo de regras no pacote de proteção (ACL da Web). O AWS WAF também registra os rótulos nas métricas do Amazon CloudWatch. Para obter informações gerais sobre rótulos e métricas de rótulos, consulte Rotulagem de solicitações da Web e Métricas e dimensões do rótulo.

rótulos de token

Esse grupo de regras usa o gerenciamento de tokens do AWS WAF para inspecionar e rotular solicitações da web de acordo com o status de seus tokens do AWS WAF. O AWS WAF usa tokens para acompanhamento e verificação da sessão do cliente.

Para obter informações sobre os tokens e sobre o gerenciamento de token, consulte Uso de tokens na mitigação de ameaças inteligentes do AWS WAF.

Para obter informações sobre os componentes do rótulo descritos aqui, consulte Requisitos de sintaxe de rótulos e nomenclatura no AWS WAF.

Rótulo de sessão do cliente

O rótulo awswaf:managed:token:id:identifier contém um identificador exclusivo que o gerenciamento de token do AWS WAF usa para identificar a sessão do cliente. O identificador pode ser alterado se o cliente adquirir um novo token, por exemplo, após descartar o token que estava usando.

nota

O AWS WAF não relata métricas do Amazon CloudWatch para esse rótulo.

Impressão digital do navegador

O rótulo awswaf:managed:token:fingerprint:fingerprint-identifier contém um robusto identificador de impressão digital do navegador que o gerenciamento de tokens do AWS WAF calcula a partir de vários sinais do navegador do cliente. Esse identificador permanece o mesmo em várias tentativas de obtenção de tokens. O identificador de impressão digital não é específico de um único cliente.

nota

O AWS WAF não relata métricas do Amazon CloudWatch para esse rótulo.

Rótulos de status do token: prefixos de namespace para os rótulos

Os rótulos de status do token informam sobre o status do token e sobre as informações de desafio e de CAPTCHA que ele contém.

Cada rótulo de status do token começa com um dos seguintes prefixos de namespace:

awswaf:managed:token:: usado para relatar o status geral do token e para informar o status das informações de desafio do token.
awswaf:managed:captcha:: usado para relatar o status das informações de CAPTCHA do token.

Rótulos de status do token: nomes de rótulos

Na sequência do prefixo, o restante do rótulo fornece informações detalhadas sobre o status do token:

accepted: o token de solicitação está presente e contém o seguinte:
- Uma solução de desafio ou de CAPTCHA válida.
- Um carimbo de data/hora de desafio ou de CAPTCHA não expirado.
- Uma especificação de domínio válida para o pacote de proteção (ACL da Web).
Exemplo: o rótulo awswaf:managed:token:accepted indica que o token de solicitações da Web tem uma solução de desafio válida, um carimbo de data/hora de desafio não expirado e um domínio válido.
rejected: o token de solicitação está presente, mas não atende aos critérios de aceitação.

Em conjunto com o rótulo rejeitado, o gerenciamento de token adiciona um namespace e um nome de rótulo personalizado para indicar o motivo.
- rejected:not_solved: a solução de desafio ou de CAPTCHA está ausente no token.
- rejected:expired: o timestamp de desafio ou de CAPTCHA do token expirou, de acordo com os tempos de imunidade de token configurados do pacote de proteção (ACL da Web).
- rejected:domain_mismatch: o domínio do token não corresponde à configuração de domínio do token do pacote de proteção (ACL da Web).
- rejected:invalid: o AWS WAF não conseguiu realizar a leitura do token indicado.
Exemplo: os rótulos awswaf:managed:captcha:rejected e awswaf:managed:captcha:rejected:expired juntos indicam que a solicitação não tinha uma solução de CAPTCHA válida porque o timestamp do CAPTCHA no token excedeu o tempo de imunidade de token de CAPTCHA configurado no pacote de proteção (ACL da Web).
absent: a solicitação não tem o token ou o gerenciador de token não conseguiu realizar a leitura dele.

Exemplo: o rótulo awswaf:managed:captcha:absent indica que a solicitação não tem o token.

Rótulos do Anti-DDoS

O grupo de regras Anti-DDoS gera rótulos com o prefixo de namespace awswaf:managed:aws:anti-ddos: seguido do namespace personalizado e do nome do rótulo. Cada rótulo reflete algum aspecto das descobertas do Anti-DDoS.

O grupo de regras pode adicionar mais de um dos rótulos a seguir a uma solicitação, além dos rótulos que são adicionados por regras individuais.

awswaf:managed:aws:anti-ddos:event-detected: indica que a solicitação está indo para um recurso protegido para o qual o grupo de regras gerenciadas detecta um evento de DDoS. O grupo de regras gerenciadas detecta eventos quando o tráfego para o recurso apresenta um desvio significativo da linha de base de tráfego do recurso.

O grupo de regras adiciona esse rótulo a cada solicitação que vai para o recurso enquanto ele está nesse estado, assim o tráfego legítimo e o tráfego de ataque recebam esse rótulo.
awswaf:managed:aws:anti-ddos:ddos-request: indica que a solicitação vem de uma fonte suspeita de participar de um evento.

Além do rótulo geral, o grupo de regras adiciona os seguintes rótulos que indicam o nível de confiança.

awswaf:managed:aws:anti-ddos:low-suspicion-ddos-request: indica uma provável solicitação de um ataque de DDoS.

awswaf:managed:aws:anti-ddos:medium-suspicion-ddos-request: indica uma solicitação de um ataque muito provável de DDoS.

awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request: indica uma solicitação um ataque extremamente provável de DDoS.
awswaf:managed:aws:anti-ddos:challengeable-request: indica que o URI da solicitação é capaz de lidar com a ação Challenge. O grupo de regras gerenciadas aplica isso a toda solicitação cujo URI não seja isento. Os URIs serão isentos se corresponderem às expressões regulares de URI isentas do grupo de regras.

Para obter informações sobre os requisitos para solicitações que podem aceitar um desafio silencioso do navegador, consulte Comportamento de ações CAPTCHA e Challenge.

Você pode recuperar todos os rótulos de um grupo de regras por meio da API chamando DescribeManagedRuleGroup. Os rótulos estão listados na propriedade AvailableLabels na resposta.

O grupo de regras gerenciadas Anti-DDoS aplica rótulos às solicitações, mas nem sempre toma medidas sobre elas. O gerenciamento de solicitações depende do grau de certeza do grupo de regras em relação à participação em um ataque. Se quiser, você pode gerenciar as solicitações que o grupo de regras rotula adicionando uma regra para correspondência de rótulos que é executada após o grupo de regras. Para obter mais informações sobre isso e exemplos, consulte Prevenção de negação de serviço distribuída (DDoS) do AWS WAF.

Listagem das regras do Anti-DDoS

Esta seção lista as regras do Anti-DDoS.

nota

Se precisar de mais informações, entre em contato com o AWS Support Center.

Nome da regra Descrição

Nome da regra	Descrição
`ChallengeAllDuringEvent`	Corresponde às solicitações que têm o rótulo `awswaf:managed:aws:anti-ddos:challengeable-request` de qualquer recurso protegido que esteja sob ataque. Ação de regra: Challenge Você só pode substituir essa ação da regra por Allow ou Count. Não é recomendável usar Allow. Em qualquer configuração de ação de regra, a regra se aplica apenas a solicitações que têm o rótulo `challengeable-request`. A configuração dessa regra afeta a avaliação da próxima regra, `ChallengeDDoSRequests`. O AWS WAF só avalia essa regra quando a ação dessa regra tem a substituição definida como Count, na configuração da ACL da Web do grupo de regras gerenciadas. Se a workload for vulnerável a mudanças inesperadas no volume de solicitações, recomendamos desafiar todas as solicitações possíveis, mantendo a configuração de ação padrão de Challenge. Para aplicações menos sensíveis, você pode definir a ação dessa regra como Count e ajustar a sensibilidade das respostas ao Challenge com a regra `ChallengeDDoSRequests`. Rótulos: `awswaf:managed:aws:anti-ddos:ChallengeAllDuringEvent`
`ChallengeDDoSRequests`	Corresponde às solicitações de um recurso protegido que atendem ou excedem a configuração de sensibilidade de desafio definida pelo grupo de regras, quando o recurso está sob ataque. Ação de regra: Challenge Você só pode substituir essa ação da regra por Allow ou Count. Não é recomendável usar Allow. De qualquer modo, a regra se aplica apenas a solicitações que têm o rótulo `challengeable-request`. O AWS WAF só avalia essa regra se você substituir a ação por Count na regra anterior, `ChallengeAllDuringEvent`. Rótulos: `awswaf:managed:aws:anti-ddos:ChallengeDDoSRequests`
`DDoSRequests`	Corresponde às solicitações de um recurso protegido que atendem ou excedem a configuração de sensibilidade de bloqueio definida pelo grupo de regras, quando o recurso está sob ataque. Ação de regra: Block Rótulos: `awswaf:managed:aws:anti-ddos:DDoSRequests`

ChallengeAllDuringEvent

Corresponde às solicitações que têm o rótulo awswaf:managed:aws:anti-ddos:challengeable-request de qualquer recurso protegido que esteja sob ataque.

Ação de regra: Challenge

Você só pode substituir essa ação da regra por Allow ou Count. Não é recomendável usar Allow. Em qualquer configuração de ação de regra, a regra se aplica apenas a solicitações que têm o rótulo challengeable-request.

A configuração dessa regra afeta a avaliação da próxima regra, ChallengeDDoSRequests. O AWS WAF só avalia essa regra quando a ação dessa regra tem a substituição definida como Count, na configuração da ACL da Web do grupo de regras gerenciadas.

Se a workload for vulnerável a mudanças inesperadas no volume de solicitações, recomendamos desafiar todas as solicitações possíveis, mantendo a configuração de ação padrão de Challenge. Para aplicações menos sensíveis, você pode definir a ação dessa regra como Count e ajustar a sensibilidade das respostas ao Challenge com a regra ChallengeDDoSRequests.

Rótulos: awswaf:managed:aws:anti-ddos:ChallengeAllDuringEvent

ChallengeDDoSRequests

Corresponde às solicitações de um recurso protegido que atendem ou excedem a configuração de sensibilidade de desafio definida pelo grupo de regras, quando o recurso está sob ataque.

Ação de regra: Challenge

Você só pode substituir essa ação da regra por Allow ou Count. Não é recomendável usar Allow. De qualquer modo, a regra se aplica apenas a solicitações que têm o rótulo challengeable-request.

O AWS WAF só avalia essa regra se você substituir a ação por Count na regra anterior, ChallengeAllDuringEvent.

Rótulos: awswaf:managed:aws:anti-ddos:ChallengeDDoSRequests

DDoSRequests

Corresponde às solicitações de um recurso protegido que atendem ou excedem a configuração de sensibilidade de bloqueio definida pelo grupo de regras, quando o recurso está sob ataque.

Ação de regra: Block

Rótulos: awswaf:managed:aws:anti-ddos:DDoSRequests

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Grupo de regras do Controle de Bots

Implantações para grupos de regras versionados das regras gerenciadas da AWS