AWS WAF 分布式拒绝服务 (DDoS) 防护规则组

本节介绍用于防范分布式拒绝服务 (DDoS) 攻击的 AWS WAF 托管规则组。

VendorName:AWS，名称：AWSManagedRulesAntiDDoSRuleSet，WCU：50

注意

本文档包含此托管规则组的最新静态版本。我们在 AWS 托管规则变更日志的更改日志中报告版本变更。有关其他版本的信息，请使用 API 命令DescribeManagedRuleGroup。

我们在 AWS 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息，而不会向不良行为者提供他们规避规则所需的信息。

如果您需要更多信息，请联系 AWS 支持中心。

Ant DDo i-S 托管规则组提供用于检测和管理参与或可能参与 DDo S 攻击的请求的规则。此外，该规则组会标记其在可能事件期间评估的所有请求。

使用此规则组的注意事项

此规则组为进入受到 DDo S 攻击的资源的 Web 请求提供软缓解和硬缓解措施。要检测不同的威胁级别，可将两种缓解措施的敏感度分别调整为高、中或低可疑级别。

软缓解措施：规则组可发送静默浏览器质询，以响应能够处理质询插页式广告的请求。有关运行质询的要求的信息，请参阅 CAPTCHA 和 Challenge 操作行为。
硬缓解措施：规则组可以完全阻止请求。

有关规则组如何工作以及如何配置规则组的更多信息，请参阅使用 Ant DDo i-S 托管规则组进行高级 AWS WAF 反 DDo S 保护。

注意

使用此托管规则组时，您需要额外付费。有关更多信息，请参阅AWS WAF 定价。

此规则组是 AWS WAF中智能威胁缓解保护的一部分。有关信息，请参阅中的智能威胁缓解 AWS WAF。

为大幅降低成本并优化流量管理，请根据最佳实践指南使用此规则组。请参阅中智能缓解威胁的最佳实践 AWS WAF。

此规则组添加的标签

此托管规则组会为其评估的 Web 请求添加标签，这些标签可用于在保护包 (Web ACL) 中在此规则组之后运行的规则。 AWS WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息，请参阅 Web 请求标签和标签指标和维度。

令牌标签

该规则组使用 AWS WAF 令牌管理根据令牌的状态检查和标 AWS WAF 记 Web 请求。 AWS WAF 使用令牌进行客户端会话跟踪和验证。

有关令牌和令牌管理的信息，请参阅代币在 AWS WAF 智能威胁缓解中的使用。

有关此处描述的标签组件的信息，请参阅中的标签语法和命名要求 AWS WAF。

客户端会话标签

该标签awswaf:managed:token:id:identifier包含一个唯一标识符， AWS WAF 令牌管理使用该标识符来标识客户端会话。如果客户端获取了新令牌，例如在丢弃其正在使用的令牌之后，标识符可能会更改。

注意

AWS WAF 不报告该标签的 Amazon CloudWatch 指标。

浏览器指纹标签

该标签awswaf:managed:token:fingerprint:fingerprint-identifier包含一个强大的浏览器指纹标识符， AWS WAF 令牌管理根据各种客户端浏览器信号计算该标识符。多次尝试获取令牌时，此标识符保持不变。指纹标识符并非仅属于单个客户端。

注意

AWS WAF 不报告该标签的 Amazon CloudWatch 指标。

令牌状态标签：标签命名空间前缀

令牌状态标签报告令牌的状态、质询以及其中包含的 CAPTCHA 信息。

每个令牌状态标签都以下列命名空间前缀之一开头：

awswaf:managed:token:：用于报告令牌的一般状态以及令牌的质询信息的状态。
awswaf:managed:captcha:：用于报告令牌的 CAPTCHA 信息的状态。

令牌状态标签：标签名称

在前缀之后，标签的其余部分提供详细的令牌状态信息：

accepted：请求令牌存在且包含以下内容：
- 有效的质询或 CAPTCHA 解决方案。
- 未过期的质询或 CAPTCHA 时间戳。
- 对保护包（web ACL）有效的域规范。
示例：标签 awswaf:managed:token:accepted 表明 web 请求的令牌具有有效的质询解决方案、未过期的质询时间戳以及有效的域。
rejected：请求令牌存在但不符合接受标准。

除了被拒绝的标签外，令牌管理还添加了一个自定义标签命名空间和名称来指示原因。
- rejected:not_solved：令牌缺少质询或 CAPTCHA 解决方案。
- rejected:expired：根据保护包（web ACL）配置的令牌免疫时间，令牌的质询或 CAPTCHA 时间戳已过期。
- rejected:domain_mismatch：令牌的域与保护包（web ACL）的令牌域配置不匹配。
- rejected:invalid— AWS WAF 无法读取指示的标记。
示例：标签 awswaf:managed:captcha:rejected 和 awswaf:managed:captcha:rejected:expired 共同表示请求未提供有效的 CAPTCHA 解决方案，因为令牌中的 CAPTCHA 时间戳已超过保护包（web ACL）中配置的 CAPTCHA 令牌免疫时间。
absent：请求没有令牌，或者令牌管理器无法读取它。

示例：标签 awswaf:managed:captcha:absent 表示请求没有令牌。

反 DDo S 标签

Anti-DDo S 托管规则组生成带有命名空间前缀的标签，awswaf:managed:aws:anti-ddos:后跟任何自定义命名空间和标签名称。每个标签都反映了Anti-DDo S发现的某些方面。

除单个规则添加的标签以外，规则组还可向请求添加以下多个标签。

awswaf:managed:aws:anti-ddos:event-detected— 表示请求将发送到受保护的资源，托管规则组检测到该资源的 DDo S 事件。当流向资源的流量与资源的流量基准存在明显偏差时，托管规则组会检测事件。

规则组会在资源处于此状态期间，将此标签添加到发往该资源的所有请求中，因此合法流量和攻击流量都会获得此标签。
awswaf:managed:aws:anti-ddos:ddos-request：表示请求来自涉嫌参与某事件的来源。

除常规标签以外，规则组还可添加以下表示置信度级别的标签。

awswaf:managed:aws:anti-ddos:low-suspicion-ddos-request— 表示可能有 DDo S 攻击请求。

awswaf:managed:aws:anti-ddos:medium-suspicion-ddos-request— 表示很可能 DDo是 S 攻击请求。

awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request— 表示极有可能 DDo的 S 攻击请求。
awswaf:managed:aws:anti-ddos:challengeable-request：表示请求 URI 能够处理 Challenge 操作。托管规则组将其应用于任何 URI 未获得豁免的请求。 URIs 如果它们与规则组的豁免 URI 正则表达式相匹配，则免除。

有关可执行静默浏览器质询请求的要求信息。请参阅 CAPTCHA 和 Challenge 操作行为。

您可以通过调用 DescribeManagedRuleGroup 从 API 检索一个规则组的所有标签。标签列在响应的 AvailableLabels 属性中。

Anti-DDo S 托管规则组将标签应用于请求，但并不总是对它们采取行动。请求管理取决于规则组确定参与攻击的置信度。如有需要，可添加在规则组之后运行的标签匹配规则，以管理规则组标记的请求。有关此项与示例的更多信息，请参阅 AWS WAF 分布式拒绝服务防护 DDo。

反 DDo S 规则清单

本节列出了反 DDo S 规则。

注意

我们在 AWS 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息，而不会向不良行为者提供他们规避规则所需的信息。

如果您需要更多信息，请联系 AWS 支持中心。

规则名称说明

规则名称	说明
`ChallengeAllDuringEvent`	匹配当前遭受攻击的，任何受保护资源上带有标签 `awswaf:managed:aws:anti-ddos:challengeable-request` 的请求。规则操作：Challenge 仅可将此规则操作覆盖为 Allow 或 Count。不建议使用 Allow。对于任何规则操作设置，该规则仅匹配带有 `challengeable-request` 标签的请求。此规则的配置会影响下一条规则的评估`ChallengeDDoSRequests`。 AWS WAF 只有在托管规则组的 Web ACL 配置中Count，此规则的操作将覆盖设置为时，才会评估该规则。如果您的工作负载容易受到意外请求量变化的影响，我们建议对所有可质询的请求进行质询，方法是保持默认操作设置为 Challenge。对于敏感度较低的应用程序，可将此规则的操作设置为 Count，然后通过规则 `ChallengeDDoSRequests` 调整 Challenge 响应的敏感度。标签：`awswaf:managed:aws:anti-ddos:ChallengeAllDuringEvent`
`ChallengeDDoSRequests`	在资源遭受攻击期间，匹配受保护资源的请求，该资源满足或超过规则组已配置的质询敏感度设置。规则操作：Challenge 仅可将此规则操作覆盖为 Allow 或 Count。不建议使用 Allow。任何情况下，该规则仅匹配带有 `challengeable-request` 标签的请求。 AWS WAF 只有当你将之前的规则Count中的操作改写为时，`ChallengeAllDuringEvent`才会评估此规则。标签：`awswaf:managed:aws:anti-ddos:ChallengeDDoSRequests`
`DDoSRequests`	在资源遭受攻击期间，匹配受保护资源的请求，该资源满足或超过规则组已配置的阻断敏感度设置。规则操作：Block 标签：`awswaf:managed:aws:anti-ddos:DDoSRequests`

ChallengeAllDuringEvent

匹配当前遭受攻击的，任何受保护资源上带有标签 awswaf:managed:aws:anti-ddos:challengeable-request 的请求。

规则操作：Challenge

仅可将此规则操作覆盖为 Allow 或 Count。不建议使用 Allow。对于任何规则操作设置，该规则仅匹配带有 challengeable-request 标签的请求。

此规则的配置会影响下一条规则的评估ChallengeDDoSRequests。 AWS WAF 只有在托管规则组的 Web ACL 配置中Count，此规则的操作将覆盖设置为时，才会评估该规则。

如果您的工作负载容易受到意外请求量变化的影响，我们建议对所有可质询的请求进行质询，方法是保持默认操作设置为 Challenge。对于敏感度较低的应用程序，可将此规则的操作设置为 Count，然后通过规则 ChallengeDDoSRequests 调整 Challenge 响应的敏感度。

标签：awswaf:managed:aws:anti-ddos:ChallengeAllDuringEvent

ChallengeDDoSRequests

在资源遭受攻击期间，匹配受保护资源的请求，该资源满足或超过规则组已配置的质询敏感度设置。

规则操作：Challenge

仅可将此规则操作覆盖为 Allow 或 Count。不建议使用 Allow。任何情况下，该规则仅匹配带有 challengeable-request 标签的请求。

AWS WAF 只有当你将之前的规则Count中的操作改写为时，ChallengeAllDuringEvent才会评估此规则。

标签：awswaf:managed:aws:anti-ddos:ChallengeDDoSRequests

DDoSRequests

在资源遭受攻击期间，匹配受保护资源的请求，该资源满足或超过规则组已配置的阻断敏感度设置。

规则操作：Block

标签：awswaf:managed:aws:anti-ddos:DDoSRequests

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

机器人控制功能规则组

版本化 AWS 托管规则规则组的部署