AWS WAF 分布式拒绝服务 (DDoS) 防护规则组

本节介绍用于防范分布式拒绝服务 (DDoS) 攻击的 AWS WAF 托管规则组。

VendorName:AWS，名称：AWSManagedRulesAntiDDoSRuleSet，WCU：50

注意

本文档涵盖了该托管规则组的最新静态版本。我们在变更日志中报告版本变更，网址为AWS 托管规则变更日志。有关其他版本的信息，请使用 API 命令DescribeManagedRuleGroup。

我们在 AWS 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息，而不会向不良行为者提供他们规避规则所需的信息。

如果您需要的信息超出此处的范围，请联系AWS 支持中心。

Ant DDo i-S 托管规则组提供用于检测和管理参与或可能参与 DDo S 攻击的请求的规则。此外，规则组会标记它在可能发生的事件期间评估的所有请求。

使用此规则组的注意事项

此规则组为进入受到 DDo S 攻击的资源的 Web 请求提供软缓解和硬缓解措施。要检测不同的威胁级别，您可以将两种缓解类型的敏感度调整为高、中或低可疑级别。

软缓解 — 规则组可以发送静默浏览器质询，以响应可以处理挑战插页式广告的请求。有关举办挑战赛的要求的信息，请参阅CAPTCHA 和 Challenge 操作行为。
硬性缓解-规则组可以完全阻止请求。

有关规则组的工作原理和配置方法的更多信息，请参阅使用 Ant DDo i-S 托管规则组进行高级 AWS WAF 反 DDo S 保护。

注意

使用此托管规则组时，您需要额外付费。有关更多信息，请参阅AWS WAF 定价。

此规则组是 AWS WAF中智能威胁缓解保护的一部分。有关信息，请参阅中的智能威胁缓解 AWS WAF。

为了最大限度地降低成本并优化流量管理，请根据最佳实践指南使用此规则组。请参阅中智能缓解威胁的最佳实践 AWS WAF。

此规则组添加的标签

此托管规则组会为其评估的 Web 请求添加标签，这些标签可用于在保护包或 Web ACL 中在此规则组之后运行的规则。 AWS WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息，请参阅网络请求标签和标签指标和维度。

令牌标签

该规则组使用 AWS WAF 令牌管理根据令牌的状态检查和标 AWS WAF 记 Web 请求。 AWS WAF 使用令牌进行客户端会话跟踪和验证。

有关令牌和令牌管理的信息，请参阅代币在 AWS WAF 智能威胁缓解中的使用。

有关此处描述的标签组件的信息，请参阅中的标签语法和命名要求 AWS WAF。

客户端会话标签

该标签awswaf:managed:token:id:identifier包含一个唯一标识符， AWS WAF 令牌管理使用该标识符来标识客户端会话。如果客户端获取了新令牌，例如在丢弃其正在使用的令牌之后，标识符可能会更改。

注意

AWS WAF 不报告该标签的 Amazon CloudWatch 指标。

浏览器指纹标签

该标签awswaf:managed:token:fingerprint:fingerprint-identifier包含一个强大的浏览器指纹标识符， AWS WAF 令牌管理根据各种客户端浏览器信号计算该标识符。在多次尝试获取代币时，此标识符保持不变。指纹标识符不是单个客户端所独有的。

注意

AWS WAF 不报告该标签的 Amazon CloudWatch 指标。

令牌状态标签：标签命名空间前缀

令牌状态标签报告令牌的状态、质询以及其中包含的 CAPTCHA 信息。

每个令牌状态标签都以下列命名空间前缀之一开头：

awswaf:managed:token: – 用于报告令牌的一般状态以及令牌的质询信息的状态。
awswaf:managed:captcha: – 用于报告令牌的 CAPTCHA 信息的状态。

令牌状态标签：标签名称

在前缀之后，标签的其余部分提供详细的令牌状态信息：

accepted – 请求令牌存在且包含以下内容：
- 有效的质询或 CAPTCHA 解决方案。
- 未过期的质询或 CAPTCHA 时间戳。
- 对保护包或 Web ACL 有效的域规范。
示例：标签 awswaf:managed:token:accepted 表明 Web 请求的令牌具有有效的质询解决方案、未过期的质询时间戳以及有效的域。
rejected – 请求令牌存在但不符合接受标准。

除了被拒绝的标签外，令牌管理还添加了一个自定义标签命名空间和名称来指示原因。
- rejected:not_solved – 令牌缺少质询或 CAPTCHA 解决方案。
- rejected:expired— 根据您的保护包或 Web ACL 配置的令牌免疫时间，令牌的质询或 CAPTCHA 时间戳已过期。
- rejected:domain_mismatch— 令牌的域名与您的保护包或 Web ACL 的令牌域配置不匹配。
- rejected:invalid— AWS WAF 无法读取指示的标记。
示例：标签awswaf:managed:captcha:rejected和awswaf:managed:captcha:rejected:expired加在一起表示请求没有有效的验证码解析，因为令牌中的验证码时间戳已超过保护包或Web ACL中配置的验证码令牌免疫时间。
absent – 请求没有令牌，或者令牌管理器无法读取它。

示例：标签 awswaf:managed:captcha:absent 表示请求没有令牌。

反 DDo S 标签

Anti-DDo S 托管规则组生成带有命名空间前缀的标签，awswaf:managed:aws:anti-ddos:后跟任何自定义命名空间和标签名称。每个标签都反映了Anti-DDo S发现的某些方面。

除了由各个规则添加的标签外，规则组还可能向请求添加以下多个标签。

awswaf:managed:aws:anti-ddos:event-detected— 表示请求将发送到受保护的资源，托管规则组检测到该资源的 DDo S 事件。当流向资源的流量与资源的流量基准有明显偏差时，托管规则组会检测事件。

当资源处于此状态时，规则组会将此标签添加到每个发送到该资源的请求中，因此合法流量和攻击流量都会获得此标签。
awswaf:managed:aws:anti-ddos:ddos-request— 表示请求来自涉嫌参与活动的来源。

除了常规标签外，规则组还添加了以下表示置信度的标签。

awswaf:managed:aws:anti-ddos:low-suspicion-ddos-request— 表示可能有 DDo S 攻击请求。

awswaf:managed:aws:anti-ddos:medium-suspicion-ddos-request— 表示很可能 DDo是 S 攻击请求。

awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request— 表示极有可能 DDo的 S 攻击请求。
awswaf:managed:aws:anti-ddos:challengeable-request— 表示请求 URI 能够处理Challenge操作。托管规则组会将其应用于任何 URI 未获得豁免的请求。 URIs 如果它们与规则组的豁免 URI 正则表达式相匹配，则免除。

有关可以接受静默浏览器质询的请求的要求的信息，请参阅CAPTCHA 和 Challenge 操作行为。

您可以通过调用 DescribeManagedRuleGroup 从 API 检索一个规则组的所有标签。标签列在响应的 AvailableLabels 属性中。

Anti-DDo S 托管规则组将标签应用于请求，但并不总是对它们采取行动。请求管理取决于规则组确定参与攻击的信心。如果需要，您可以通过添加在规则组之后运行的标签匹配规则来管理规则组所标记的请求。有关此项与示例的更多信息，请参阅 AWS WAF 分布式拒绝服务防护 DDo。

反 DDo S 规则清单

本节列出了反 DDo S 规则。

注意

我们在 AWS 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息，而不会向不良行为者提供他们规避规则所需的信息。

如果您需要的信息超出此处的范围，请联系AWS 支持中心。

Rule name（规则名称）描述

Rule name（规则名称）	描述
`ChallengeAllDuringEvent`	匹配带有当前受到攻击的任何受保护资源的标签`awswaf:managed:aws:anti-ddos:challengeable-request`的请求。规则操作：Challenge 您只能将此规则操作改写为Allow或Count。Allow不建议使用。对于任何规则操作设置，该规则仅匹配`challengeable-request`带有标签的请求。此规则的配置会影响下一条规则的评估`ChallengeDDoSRequests`。 AWS WAF 只有在托管规则组的 Web ACL 配置中Count，此规则的操作将覆盖设置为时，才会评估该规则。如果您的工作负载容易受到意外请求量变化的影响，我们建议将默认操作设置保持为，从而质疑所有可质疑的Challenge请求。对于敏感度较低的应用程序，您可以将此规则的操作设置为，Count然后使用该规则调整Challenge响应的灵敏度`ChallengeDDoSRequests`。标签：`awswaf:managed:aws:anti-ddos:ChallengeAllDuringEvent`
`ChallengeDDoSRequests`	在资源受到攻击期间，匹配满足或超过规则组配置的质询敏感度设置的受保护资源的请求。规则操作：Challenge 您只能将此规则操作改写为Allow或Count。Allow不建议使用。无论如何，该规则仅匹配带有该`challengeable-request`标签的请求。 AWS WAF 只有当你将之前的规则Count中的操作改写为时，`ChallengeAllDuringEvent`才会评估此规则。标签：`awswaf:managed:aws:anti-ddos:ChallengeDDoSRequests`
`DDoSRequests`	在资源受到攻击期间，匹配满足或超过规则组配置的区块敏感度设置的受保护资源的请求。规则操作：Block 标签：`awswaf:managed:aws:anti-ddos:DDoSRequests`

ChallengeAllDuringEvent

匹配带有当前受到攻击的任何受保护资源的标签awswaf:managed:aws:anti-ddos:challengeable-request的请求。

规则操作：Challenge

您只能将此规则操作改写为Allow或Count。Allow不建议使用。对于任何规则操作设置，该规则仅匹配challengeable-request带有标签的请求。

此规则的配置会影响下一条规则的评估ChallengeDDoSRequests。 AWS WAF 只有在托管规则组的 Web ACL 配置中Count，此规则的操作将覆盖设置为时，才会评估该规则。

如果您的工作负载容易受到意外请求量变化的影响，我们建议将默认操作设置保持为，从而质疑所有可质疑的Challenge请求。对于敏感度较低的应用程序，您可以将此规则的操作设置为，Count然后使用该规则调整Challenge响应的灵敏度ChallengeDDoSRequests。

标签：awswaf:managed:aws:anti-ddos:ChallengeAllDuringEvent

ChallengeDDoSRequests

在资源受到攻击期间，匹配满足或超过规则组配置的质询敏感度设置的受保护资源的请求。

规则操作：Challenge

您只能将此规则操作改写为Allow或Count。Allow不建议使用。无论如何，该规则仅匹配带有该challengeable-request标签的请求。

AWS WAF 只有当你将之前的规则Count中的操作改写为时，ChallengeAllDuringEvent才会评估此规则。

标签：awswaf:managed:aws:anti-ddos:ChallengeDDoSRequests

DDoSRequests

在资源受到攻击期间，匹配满足或超过规则组配置的区块敏感度设置的受保护资源的请求。

规则操作：Block

标签：awswaf:managed:aws:anti-ddos:DDoSRequests

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

机器人控制功能规则组

版本化 AWS 托管规则规则组的部署