AWS WAF 分布式阻断服务（DDoS）防护规则组

本节描述用于防御分布式阻断服务（DDoS）攻击的 AWS WAF 托管规则组。

供应商名称：AWS，名称：AWSManagedRulesAntiDDoSRuleSet，WCU：50

注意

本文档包含此托管规则组的最新静态版本。我们在 AWS 托管规则变更日志的更改日志中报告版本变更。有关其他版本的信息，请使用 API 命令 DescribeManagedRuleGroup。

对于 AWS 托管规则组中的规则，我们所发布的信息旨在为您提供使用规则所需的内容，同时避免恶意行为者由此得知规避规则的信息。

如果您需要更多信息，请联系 AWS 支持中心。

反 DDoS 托管规则组提供用于检测和管理参与或可能参与 DDoS 攻击请求的规则。此外，该规则组会标记其在可能事件期间评估的所有请求。

使用此规则组的注意事项

此规则组为遭受 DDoS 攻击的资源，提供针对 web 请求的软缓解措施与硬缓解措施。要检测不同的威胁级别，可将两种缓解措施的敏感度分别调整为高、中或低可疑级别。

软缓解措施：规则组可发送静默浏览器质询，以响应能够处理质询插页式广告的请求。有关运行质询的要求的信息，请参阅 CAPTCHA 和 Challenge 操作行为。
硬缓解措施：规则组可以完全阻止请求。

有关规则组如何工作以及如何配置规则组的更多信息，请参阅使用 AWS WAF 反 DDoS 托管规则组实现高级防 DDoS 防护。

注意

使用此托管规则组时，您需要额外付费。有关更多信息，请参阅 AWS WAF 定价。

此规则组是 AWS WAF 中智能威胁缓解保护的一部分。有关信息，请参阅 AWS WAF 中的智能威胁缓解。

为大幅降低成本并优化流量管理，请根据最佳实践指南使用此规则组。请参阅 AWS WAF 中的智能威胁缓解最佳实践。

此规则组添加的标签

此托管规则组会为其评估的 web 请求添加标签，这些标签可供保护包（web ACL）中在此规则组之后运行的规则使用。AWS WAF 还记录与 Amazon CloudWatch 指标相关的标签。有关标签和标签指标的一般信息，请参阅 Web 请求标签和标签指标和维度。

令牌标签

此规则组使用 AWS WAF 令牌管理根据 AWS WAF 令牌的状态检查和标记 Web 请求。AWS WAF 使用令牌进行客户端会话跟踪和验证。

有关令牌和令牌管理的信息，请参阅令牌在 AWS WAF 智能威胁缓解中的使用。

有关此处描述的标签组件的信息，请参阅 AWS WAF 中的标签语法和命名要求。

客户端会话标签

标签 awswaf:managed:token:id:identifier 包含 AWS WAF 令牌管理用于识别客户端会话的唯一标识符。如果客户端获取了新令牌，例如在丢弃其正在使用的令牌之后，标识符可能会更改。

注意

AWS WAF 不报告此标签的 Amazon CloudWatch 指标。

浏览器指纹标签

标签 awswaf:managed:token:fingerprint:fingerprint-identifier 包含强大的浏览器指纹标识符，AWS WAF 令牌管理可根据各种客户端浏览器信号计算该标识符。多次尝试获取令牌时，此标识符保持不变。指纹标识符并非仅属于单个客户端。

注意

AWS WAF 不报告此标签的 Amazon CloudWatch 指标。

令牌状态标签：标签命名空间前缀

令牌状态标签报告令牌的状态、质询以及其中包含的 CAPTCHA 信息。

每个令牌状态标签都以下列命名空间前缀之一开头：

awswaf:managed:token:：用于报告令牌的一般状态以及令牌的质询信息的状态。
awswaf:managed:captcha:：用于报告令牌的 CAPTCHA 信息的状态。

令牌状态标签：标签名称

在前缀之后，标签的其余部分提供详细的令牌状态信息：

accepted：请求令牌存在且包含以下内容：
- 有效的质询或 CAPTCHA 解决方案。
- 未过期的质询或 CAPTCHA 时间戳。
- 对保护包（web ACL）有效的域规范。
示例：标签 awswaf:managed:token:accepted 表明 Web 请求的令牌具有有效的质询解决方案、未过期的质询时间戳以及有效的域。
rejected：请求令牌存在但不符合接受标准。

除了被拒绝的标签外，令牌管理还添加了一个自定义标签命名空间和名称来指示原因。
- rejected:not_solved：令牌缺少质询或 CAPTCHA 解决方案。
- rejected:expired：根据保护包（web ACL）配置的令牌免疫时间，令牌的质询或 CAPTCHA 时间戳已过期。
- rejected:domain_mismatch：令牌的域与保护包（web ACL）的令牌域配置不匹配。
- rejected:invalid：AWS WAF 无法读取指示的令牌。
示例：标签 awswaf:managed:captcha:rejected 和 awswaf:managed:captcha:rejected:expired 共同表示请求未提供有效的 CAPTCHA 解决方案，因为令牌中的 CAPTCHA 时间戳已超过保护包（web ACL）中配置的 CAPTCHA 令牌免疫时间。
absent：请求没有令牌，或者令牌管理器无法读取它。

示例：标签 awswaf:managed:captcha:absent 表示请求没有令牌。

反 DDoS 标签

反 DDoS 托管规则组生成带有命名空间前缀 awswaf:managed:aws:anti-ddos: 的标签，后接任何自定义命名空间和标签名称。每个标签均反映反 DDoS 调查发现的某方面内容。

除单个规则添加的标签以外，规则组还可向请求添加以下多个标签。

awswaf:managed:aws:anti-ddos:event-detected：表示请求将发送至托管规则组检测到 DDoS 事件的受保护资源。当流向资源的流量与资源的流量基准存在明显偏差时，托管规则组会检测事件。

规则组会在资源处于此状态期间，将此标签添加到发往该资源的所有请求中，因此合法流量和攻击流量都会获得此标签。
awswaf:managed:aws:anti-ddos:ddos-request：表示请求来自涉嫌参与某事件的来源。

除常规标签以外，规则组还可添加以下表示置信度级别的标签。

awswaf:managed:aws:anti-ddos:low-suspicion-ddos-request：表示可能存在的 DDoS 攻击请求。

awswaf:managed:aws:anti-ddos:medium-suspicion-ddos-request：表示很可能存在的 DDoS 攻击请求。

awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request：表示极可能存在的 DDoS 攻击请求。
awswaf:managed:aws:anti-ddos:challengeable-request：表示请求 URI 能够处理 Challenge 操作。托管规则组将此规则应用于任何其 URI 未获豁免的请求。如果 URI 与规则组的豁免 URI 正则表达式相匹配，则该 URI 可豁免。

有关可执行静默浏览器质询请求的要求信息。请参阅 CAPTCHA 和 Challenge 操作行为。

您可以通过调用 DescribeManagedRuleGroup 从 API 检索一个规则组的所有标签。标签列在响应的 AvailableLabels 属性中。

反 DDoS 托管规则组会将标签应用于请求，但并非总是根据标签采取行动。请求管理取决于规则组确定参与攻击的置信度。如有需要，可添加在规则组之后运行的标签匹配规则，以管理规则组标记的请求。有关此项与示例的更多信息，请参阅 AWS WAF 分布式阻断服务（DDoS）防护。

反 DDoS 规则列表

本节列出反 DDoS 规则。

注意

对于 AWS 托管规则组中的规则，我们所发布的信息旨在为您提供使用规则所需的内容，同时避免恶意行为者由此得知规避规则的信息。

如果您需要更多信息，请联系 AWS 支持中心。

规则名称描述

规则名称	描述
`ChallengeAllDuringEvent`	匹配当前遭受攻击的，任何受保护资源上带有标签 `awswaf:managed:aws:anti-ddos:challengeable-request` 的请求。规则操作：Challenge 仅可将此规则操作覆盖为 Allow 或 Count。不建议使用 Allow。对于任何规则操作设置，该规则仅匹配带有 `challengeable-request` 标签的请求。此规则的配置会影响下一条规则 `ChallengeDDoSRequests` 的评估。仅当该规则的操作在托管规则组的 web ACL 配置中覆盖设置为 Count 时，AWS WAF 才会评估该规则。如果您的工作负载容易受到意外请求量变化的影响，我们建议对所有可质询的请求进行质询，方法是保持默认操作设置为 Challenge。对于敏感度较低的应用程序，可将此规则的操作设置为 Count，然后通过规则 `ChallengeDDoSRequests` 调整 Challenge 响应的敏感度。标签：`awswaf:managed:aws:anti-ddos:ChallengeAllDuringEvent`
`ChallengeDDoSRequests`	在资源遭受攻击期间，匹配受保护资源的请求，该资源满足或超过规则组已配置的质询敏感度设置。规则操作：Challenge 仅可将此规则操作覆盖为 Allow 或 Count。不建议使用 Allow。任何情况下，该规则仅匹配带有 `challengeable-request` 标签的请求。仅当您将先前规则 `ChallengeAllDuringEvent` 中的操作覆盖为 Count 时，AWS WAF 才会评估此规则。标签：`awswaf:managed:aws:anti-ddos:ChallengeDDoSRequests`
`DDoSRequests`	在资源遭受攻击期间，匹配受保护资源的请求，该资源满足或超过规则组已配置的阻断敏感度设置。规则操作：Block 标签：`awswaf:managed:aws:anti-ddos:DDoSRequests`

ChallengeAllDuringEvent

匹配当前遭受攻击的，任何受保护资源上带有标签 awswaf:managed:aws:anti-ddos:challengeable-request 的请求。

规则操作：Challenge

仅可将此规则操作覆盖为 Allow 或 Count。不建议使用 Allow。对于任何规则操作设置，该规则仅匹配带有 challengeable-request 标签的请求。

此规则的配置会影响下一条规则 ChallengeDDoSRequests 的评估。仅当该规则的操作在托管规则组的 web ACL 配置中覆盖设置为 Count 时，AWS WAF 才会评估该规则。

如果您的工作负载容易受到意外请求量变化的影响，我们建议对所有可质询的请求进行质询，方法是保持默认操作设置为 Challenge。对于敏感度较低的应用程序，可将此规则的操作设置为 Count，然后通过规则 ChallengeDDoSRequests 调整 Challenge 响应的敏感度。

标签：awswaf:managed:aws:anti-ddos:ChallengeAllDuringEvent

ChallengeDDoSRequests

在资源遭受攻击期间，匹配受保护资源的请求，该资源满足或超过规则组已配置的质询敏感度设置。

规则操作：Challenge

仅可将此规则操作覆盖为 Allow 或 Count。不建议使用 Allow。任何情况下，该规则仅匹配带有 challengeable-request 标签的请求。

仅当您将先前规则 ChallengeAllDuringEvent 中的操作覆盖为 Count 时，AWS WAF 才会评估此规则。

标签：awswaf:managed:aws:anti-ddos:ChallengeDDoSRequests

DDoSRequests

在资源遭受攻击期间，匹配受保护资源的请求，该资源满足或超过规则组已配置的阻断敏感度设置。

规则操作：Block

标签：awswaf:managed:aws:anti-ddos:DDoSRequests

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

机器人控制功能规则组

受版本控制 AWS 托管规则的规则组的部署