Apresentando uma nova experiência de console para AWS WAF
Agora você pode usar a experiência atualizada para acessar a AWS WAF funcionalidade em qualquer lugar do console. Consulte mais detalhes em Trabalhando com a experiência atualizada do console.
As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWS WAF Grupo de regras de prevenção de negação de serviço distribuído (DDoS)
Esta seção descreve o grupo de regras AWS WAF gerenciadas para a proteção contra ataques distribuídos de negação de serviço (DDoS).
VendorName:AWS, Nome:AWSManagedRulesAntiDDoSRuleSet
nota
Esta documentação abrange a versão estática mais recente desse grupo de regras gerenciadas. Relatamos as mudanças de versão no registro de alterações em. AWS Registro de alterações das regras gerenciadas Para obter informações sobre outras versões, use o comando API DescribeManagedRuleGroup.
As informações que publicamos sobre as regras nos grupos de regras de regras AWS gerenciadas têm como objetivo fornecer o que você precisa para usar as regras, sem dar aos malfeitores o que eles precisam para contorná-las.
Se precisar de mais informações do que as encontradas aqui, entre em contato com o AWS Support Centro
O grupo de regras gerenciadas do DDo Anti-S fornece regras que detectam e gerenciam solicitações que estão participando ou provavelmente participam de ataques DDo S. Além disso, o grupo de regras rotula todas as solicitações que ele avalia durante um evento provável.
Considerações sobre o uso deste grupo de regras
Esse grupo de regras fornece atenuações flexíveis e rígidas para solicitações da web que chegam a recursos que estão sob ataque DDo S. Para detectar diferentes níveis de ameaça, você pode ajustar a sensibilidade de ambos os tipos de mitigação para níveis de suspeita altos, médios ou baixos.
Atenuação suave — o grupo de regras pode enviar desafios silenciosos ao navegador em resposta a solicitações que possam lidar com o desafio intersticial. Para obter informações sobre os requisitos para executar o desafio, consulteComportamento de ações CAPTCHA e Challenge.
Atenuação difícil — o grupo de regras pode bloquear completamente as solicitações.
Para obter mais informações sobre como o grupo de regras funciona e como configurá-lo, consulteProteção DDo anti-S avançada usando o grupo de regras gerenciadas AWS WAF DDo Anti-S.
nota
Você paga taxas adicionais ao usar esse grupo de regras gerenciadas. Para obter mais informações, consulte AWS WAF Preço
Esse grupo de regras faz parte das proteções de mitigação de ameaças inteligentes em AWS WAF. Para mais informações, consulte Mitigação inteligente de ameaças em AWS WAF.
Para minimizar os custos e otimizar o gerenciamento de tráfego, use esse grupo de regras de acordo com as diretrizes de melhores práticas. Consulte Melhores práticas para mitigação inteligente de ameaças em AWS WAF.
Rótulos adicionados por esse grupo de regras
Esse grupo de regras gerenciadas adiciona rótulos às solicitações da web que ele avalia, que estão disponíveis para as regras executadas após esse grupo de regras em seu pacote de proteção ou ACL da web. AWS WAF também registra os rótulos de acordo com CloudWatch as métricas da Amazon. Para obter informações gerais sobre rótulos e métricas de rótulos, consulte Rotulagem de solicitações da Web e Métricas e dimensões do rótulo.
rótulos de token
Esse grupo de regras usa o gerenciamento de AWS WAF tokens para inspecionar e rotular solicitações da web de acordo com o status de seus AWS WAF tokens. AWS WAF usa tokens para rastreamento e verificação da sessão do cliente.
Para obter informações sobre os tokens e sobre o gerenciamento de token, consulte Uso de tokens na mitigação AWS WAF inteligente de ameaças.
Para obter informações sobre os componentes do rótulo descritos aqui, consulte Sintaxe de rótulos e requisitos de nomenclatura em AWS WAF.
Rótulo de sessão do cliente
O rótulo awswaf:managed:token:id: contém um identificador exclusivo que o gerenciamento de AWS WAF tokens usa para identificar a sessão do cliente. O identificador pode ser alterado se o cliente adquirir um novo token, por exemplo, após descartar o token que estava usando. identifier
nota
AWS WAF não relata CloudWatch métricas da Amazon para esse rótulo.
Etiqueta de impressão digital do navegador
O rótulo awswaf:managed:token:fingerprint: contém um identificador robusto de impressão digital do navegador que o gerenciamento de AWS WAF tokens calcula a partir de vários sinais do navegador do cliente. Esse identificador permanece o mesmo em várias tentativas de aquisição de tokens. O identificador de impressão digital não é exclusivo de um único cliente.fingerprint-identifier
nota
AWS WAF não relata CloudWatch métricas da Amazon para esse rótulo.
Rótulos de status do token: prefixos de namespace para os rótulos
Os rótulos de status do token informam sobre o status do token e sobre as informações de desafio e de CAPTCHA que ele contém.
Cada rótulo de status do token começa com um dos seguintes prefixos de namespace:
awswaf:managed:token:: usado para relatar o status geral do token e para informar o status das informações de desafio do token.awswaf:managed:captcha:: usado para relatar o status das informações de CAPTCHA do token.
Rótulos de status do token: nomes de rótulos
Na sequência do prefixo, o restante do rótulo fornece informações detalhadas sobre o status do token:
accepted: o token de solicitação está presente e contém o seguinte:Uma solução de desafio ou de CAPTCHA válida.
Um carimbo de data/hora de desafio ou de CAPTCHA não expirado.
Uma especificação de domínio válida para o pacote de proteção ou a Web ACL.
Exemplo: o rótulo
awswaf:managed:token:acceptedindica que o token de solicitações da Web tem uma solução de desafio válida, um carimbo de data/hora de desafio não expirado e um domínio válido.-
rejected: o token de solicitação está presente, mas não atende aos critérios de aceitação.Em conjunto com o rótulo rejeitado, o gerenciamento de token adiciona um namespace e um nome de rótulo personalizado para indicar o motivo.
rejected:not_solved: a solução de desafio ou de CAPTCHA está ausente no token.rejected:expired— O desafio do token ou o timestamp do CAPTCHA expirou, de acordo com os tempos de imunidade de token configurados pelo pacote de proteção ou pela ACL da web.rejected:domain_mismatch— O domínio do token não corresponde ao seu pacote de proteção ou à configuração do domínio do token da ACL da web.rejected:invalid— não AWS WAF consegui ler o token indicado.
Exemplo: os rótulos
awswaf:managed:captcha:rejectedawswaf:managed:captcha:rejected:expiredjuntos indicam que a solicitação não tinha uma solução de CAPTCHA válida porque o carimbo de data/hora do CAPTCHA no token excedeu o tempo de imunidade do token CAPTCHA configurado no pacote de proteção ou na ACL da web. -
absent: a solicitação não tem o token ou o gerenciador de token não conseguiu realizar a leitura dele.Exemplo: o rótulo
awswaf:managed:captcha:absentindica que a solicitação não tem o token.
Etiquetas anti- DDo S
O grupo de regras gerenciadas do DDo Anti-S gera rótulos com o prefixo do namespace awswaf:managed:aws:anti-ddos: seguido por qualquer namespace personalizado e pelo nome do rótulo. Cada rótulo reflete algum aspecto das descobertas do DDo Anti-S.
O grupo de regras pode adicionar mais de um dos rótulos a seguir a uma solicitação, além dos rótulos adicionados por regras individuais.
-
awswaf:managed:aws:anti-ddos:event-detected— Indica que a solicitação está indo para um recurso protegido para o qual o grupo de regras gerenciadas detecta um evento DDo S. O grupo de regras gerenciadas detecta eventos quando o tráfego para o recurso tem um desvio significativo da linha de base do tráfego do recurso.O grupo de regras adiciona esse rótulo a cada solicitação que vai para o recurso enquanto ele está nesse estado, para que o tráfego legítimo e o tráfego de ataque recebam esse rótulo.
-
awswaf:managed:aws:anti-ddos:ddos-request— Indica que a solicitação vem de uma fonte suspeita de participar de um evento.Além do rótulo geral, o grupo de regras adiciona os seguintes rótulos que indicam o nível de confiança.
awswaf:managed:aws:anti-ddos:low-suspicion-ddos-request— Indica uma provável solicitação DDo de ataque S.awswaf:managed:aws:anti-ddos:medium-suspicion-ddos-request— Indica uma solicitação de ataque DDo S muito provável.awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request— Indica uma solicitação de ataque DDo S altamente provável. -
awswaf:managed:aws:anti-ddos:challengeable-request— Indica que o URI da solicitação é capaz de lidar com a Challenge ação. O grupo de regras gerenciadas aplica isso a qualquer solicitação cujo URI não esteja isento. URIs são isentos se corresponderem às expressões regulares de URI isentas do grupo de regras.Para obter informações sobre os requisitos para solicitações que podem enfrentar o desafio de um navegador silencioso, consulteComportamento de ações CAPTCHA e Challenge.
Você pode recuperar todos os rótulos de um grupo de regras por meio da API chamando DescribeManagedRuleGroup. Os rótulos estão listados na propriedade AvailableLabels na resposta.
O grupo de regras gerenciadas do DDo Anti-S aplica rótulos às solicitações, mas nem sempre age de acordo com elas. O gerenciamento de solicitações depende da confiança com que o grupo de regras determina a participação em um ataque. Se quiser, você pode gerenciar as solicitações que o grupo de regras rotula adicionando uma regra de correspondência de rótulos que é executada após o grupo de regras. Para obter mais informações sobre isso e exemplos, consulte AWS WAF Prevenção distribuída de negação de serviço (DDoS).
Lista de regras DDo anti-S
Esta seção lista as regras DDo Anti-S.
nota
Esta documentação abrange a versão estática mais recente desse grupo de regras gerenciadas. Relatamos as mudanças de versão no registro de alterações em. AWS Registro de alterações das regras gerenciadas Para obter informações sobre outras versões, use o comando API DescribeManagedRuleGroup.
As informações que publicamos sobre as regras nos grupos de regras de regras AWS gerenciadas têm como objetivo fornecer o que você precisa para usar as regras, sem dar aos malfeitores o que eles precisam para contorná-las.
Se precisar de mais informações do que as encontradas aqui, entre em contato com o AWS Support Centro
| Nome da regra | Descrição |
|---|---|
ChallengeAllDuringEvent |
Corresponde às solicitações que têm o rótulo Ação da regra: Challenge Você só pode substituir essa ação de regra para Allow ouCount. O uso de não Allow é recomendado. Para qualquer configuração de ação de regra, a regra corresponde somente às solicitações que têm o A configuração dessa regra afeta a avaliação da próxima regra, Se sua carga de trabalho estiver vulnerável a mudanças inesperadas no volume de solicitações, recomendamos desafiar todas as solicitações contestáveis, mantendo a configuração de ação padrão de. Challenge Para aplicativos menos confidenciais, você pode definir a ação dessa regra Count e, em seguida, ajustar a sensibilidade de suas Challenge respostas com a regra Rótulos: |
ChallengeDDoSRequests |
Corresponde às solicitações de um recurso protegido que atendem ou excedem a configuração de sensibilidade de desafio definida pelo grupo de regras, nos momentos em que o recurso está sob ataque. Ação da regra: Challenge Você só pode substituir essa ação de regra para Allow ouCount. O uso de não Allow é recomendado. De qualquer forma, a regra corresponde apenas às solicitações que têm o AWS WAF só avalia essa regra se você substituir a ação Count na regra anterior,. Rótulos: |
DDoSRequests |
Corresponde às solicitações de um recurso protegido que atendem ou excedem a configuração de sensibilidade de bloqueio definida pelo grupo de regras, nos momentos em que o recurso está sob ataque. Ação da regra: Block Rótulos: |
