**引入全新的主机体验 AWS WAF** 现在,您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息,请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。 本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # AWS WAF 分布式拒绝服务 (DDoS) 防护规则组 反 DDo S 规则组新的 Ant DDo i-S 托管规则组 AWS WAF `AWSManagedRulesAntiDDoSRuleSet`通过检测、标记和质疑涉嫌参与 DDo S 攻击的请求来保护您的资源。 本节介绍用于防范分布式拒绝服务 (DDoS) 攻击的 AWS WAF 托管规则组。 VendorName:`AWS`,名称:`AWSManagedRulesAntiDDoSRuleSet`,WCU:50 **注意** 本文档包含此托管规则组的最新静态版本。我们在 [AWS 托管规则变更日志](aws-managed-rule-groups-changelog.md) 的更改日志中报告版本变更。有关其他版本的信息,请使用 API 命令[DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。 我们在 AWS 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息,而不会向不良行为者提供他们规避规则所需的信息。 如果您需要更多信息,请联系 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。 Ant DDo i-S 托管规则组提供用于检测和管理参与或可能参与 DDo S 攻击的请求的规则。此外,该规则组会标记其在可能事件期间评估的所有请求。 ## 使用此规则组的注意事项 使用此规则组 此规则组为进入受到 DDo S 攻击的资源的 Web 请求提供软缓解和硬缓解措施。要检测不同的威胁级别,可将两种缓解措施的敏感度分别调整为高、中或低可疑级别。 + **软缓解措施**:规则组可发送静默浏览器质询,以响应能够处理质询插页式广告的请求。有关运行质询的要求的信息,请参阅 [CAPTCHA 和 Challenge 操作行为](waf-captcha-and-challenge-actions.md)。 + **硬缓解措施**:规则组可以完全阻止请求。 有关规则组如何工作以及如何配置规则组的更多信息,请参阅 [使用 Ant DDo i-S 托管规则组进行高级 AWS WAF 反 DDo S 保护](waf-anti-ddos-advanced.md)。 **注意** 使用此托管规则组时,您需要额外付费。有关更多信息,请参阅[AWS WAF 定价](https://aws.amazon.com/waf/pricing/)。 此规则组是 AWS WAF中智能威胁缓解保护的一部分。有关信息,请参阅[中的智能威胁缓解 AWS WAF](waf-managed-protections.md)。 为大幅降低成本并优化流量管理,请根据最佳实践指南使用此规则组。请参阅 [中智能缓解威胁的最佳实践 AWS WAF](waf-managed-protections-best-practices.md)。 ## 此规则组添加的标签 此规则组添加的标签 此托管规则组会为其评估的 Web 请求添加标签,这些标签可用于在保护包 (Web ACL) 中在此规则组之后运行的规则。 AWS WAF 还会记录亚马逊 CloudWatch 指标的标签。有关标签和标签指标的一般信息,请参阅 [Web 请求标签](waf-labels.md) 和 [标签指标和维度](waf-metrics.md#waf-metrics-label)。 ### 令牌标签 令牌标签 该规则组使用 AWS WAF 令牌管理根据令牌的状态检查和标 AWS WAF 记 Web 请求。 AWS WAF 使用令牌进行客户端会话跟踪和验证。 有关令牌和令牌管理的信息,请参阅 [代币在 AWS WAF 智能威胁缓解中的使用](waf-tokens.md)。 有关此处描述的标签组件的信息,请参阅 [中的标签语法和命名要求 AWS WAF](waf-rule-label-requirements.md)。 **客户端会话标签** 该标签`awswaf:managed:token:id:identifier`包含一个唯一标识符, AWS WAF 令牌管理使用该标识符来标识客户端会话。如果客户端获取了新令牌,例如在丢弃其正在使用的令牌之后,标识符可能会更改。 **注意** AWS WAF 不报告该标签的 Amazon CloudWatch 指标。 **浏览器指纹标签** 该标签`awswaf:managed:token:fingerprint:fingerprint-identifier`包含一个强大的浏览器指纹标识符, AWS WAF 令牌管理根据各种客户端浏览器信号计算该标识符。多次尝试获取令牌时,此标识符保持不变。指纹标识符并非仅属于单个客户端。 **注意** AWS WAF 不报告该标签的 Amazon CloudWatch 指标。 **令牌状态标签:标签命名空间前缀** 令牌状态标签报告令牌的状态、质询以及其中包含的 CAPTCHA 信息。 每个令牌状态标签都以下列命名空间前缀之一开头: + `awswaf:managed:token:`:用于报告令牌的一般状态以及令牌的质询信息的状态。 + `awswaf:managed:captcha:`:用于报告令牌的 CAPTCHA 信息的状态。 **令牌状态标签:标签名称** 在前缀之后,标签的其余部分提供详细的令牌状态信息: + `accepted`:请求令牌存在且包含以下内容: + 有效的质询或 CAPTCHA 解决方案。 + 未过期的质询或 CAPTCHA 时间戳。 + 对保护包(web ACL)有效的域规范。 示例:标签 `awswaf:managed:token:accepted` 表明 web 请求的令牌具有有效的质询解决方案、未过期的质询时间戳以及有效的域。 + `rejected`:请求令牌存在但不符合接受标准。 除了被拒绝的标签外,令牌管理还添加了一个自定义标签命名空间和名称来指示原因。 + `rejected:not_solved`:令牌缺少质询或 CAPTCHA 解决方案。 + `rejected:expired`:根据保护包(web ACL)配置的令牌免疫时间,令牌的质询或 CAPTCHA 时间戳已过期。 + `rejected:domain_mismatch`:令牌的域与保护包(web ACL)的令牌域配置不匹配。 + `rejected:invalid`— AWS WAF 无法读取指示的标记。 示例:标签 `awswaf:managed:captcha:rejected` 和 `awswaf:managed:captcha:rejected:expired` 共同表示请求未提供有效的 CAPTCHA 解决方案,因为令牌中的 CAPTCHA 时间戳已超过保护包(web ACL)中配置的 CAPTCHA 令牌免疫时间。 + `absent`:请求没有令牌,或者令牌管理器无法读取它。 示例:标签 `awswaf:managed:captcha:absent` 表示请求没有令牌。 ### 反 DDo S 标签 反 DDo S 标签 Anti-DDo S 托管规则组生成带有命名空间前缀的标签,`awswaf:managed:aws:anti-ddos:`后跟任何自定义命名空间和标签名称。每个标签都反映了Anti-DDo S发现的某些方面。 除单个规则添加的标签以外,规则组还可向请求添加以下多个标签。 + `awswaf:managed:aws:anti-ddos:event-detected`— 表示请求将发送到受保护的资源,托管规则组检测到该资源的 DDo S 事件。当流向资源的流量与资源的流量基准存在明显偏差时,托管规则组会检测事件。 规则组会在资源处于此状态期间,将此标签添加到发往该资源的所有请求中,因此合法流量和攻击流量都会获得此标签。 + `awswaf:managed:aws:anti-ddos:ddos-request`:表示请求来自涉嫌参与某事件的来源。 除常规标签以外,规则组还可添加以下表示置信度级别的标签。 `awswaf:managed:aws:anti-ddos:low-suspicion-ddos-request`— 表示可能有 DDo S 攻击请求。 `awswaf:managed:aws:anti-ddos:medium-suspicion-ddos-request`— 表示很可能 DDo是 S 攻击请求。 `awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request`— 表示极有可能 DDo的 S 攻击请求。 + `awswaf:managed:aws:anti-ddos:challengeable-request`:表示请求 URI 能够处理 Challenge 操作。托管规则组将其应用于任何 URI 未获得豁免的请求。 URIs 如果它们与规则组的豁免 URI 正则表达式相匹配,则免除。 有关可执行静默浏览器质询请求的要求信息。请参阅 [CAPTCHA 和 Challenge 操作行为](waf-captcha-and-challenge-actions.md)。 您可以通过调用 `DescribeManagedRuleGroup` 从 API 检索一个规则组的所有标签。标签列在响应的 `AvailableLabels` 属性中。 Anti-DDo S 托管规则组将标签应用于请求,但并不总是对它们采取行动。请求管理取决于规则组确定参与攻击的置信度。如有需要,可添加在规则组之后运行的标签匹配规则,以管理规则组标记的请求。有关此项与示例的更多信息,请参阅 [AWS WAF 分布式拒绝服务防护 DDo](waf-anti-ddos.md)。 ## 反 DDo S 规则清单 规则列表 本节列出了反 DDo S 规则。 **注意** 本文档包含此托管规则组的最新静态版本。我们在 [AWS 托管规则变更日志](aws-managed-rule-groups-changelog.md) 的更改日志中报告版本变更。有关其他版本的信息,请使用 API 命令[DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html)。 我们在 AWS 托管规则组中发布的规则信息旨在为您提供使用规则所需的信息,而不会向不良行为者提供他们规避规则所需的信息。 如果您需要更多信息,请联系 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。 | 规则名称 | 说明 | | --- | --- | | ChallengeAllDuringEvent | 匹配当前遭受攻击的,任何受保护资源上带有标签 `awswaf:managed:aws:anti-ddos:challengeable-request` 的请求。 规则操作:Challenge 仅可将此规则操作覆盖为 Allow 或 Count。不建议使用 Allow。对于任何规则操作设置,该规则仅匹配带有 `challengeable-request` 标签的请求。 此规则的配置会影响下一条规则的评估`ChallengeDDoSRequests`。 AWS WAF 只有在托管规则组的 Web ACL 配置中Count,此规则的操作将覆盖设置为时,才会评估该规则。 如果您的工作负载容易受到意外请求量变化的影响,我们建议对所有可质询的请求进行质询,方法是保持默认操作设置为 Challenge。对于敏感度较低的应用程序,可将此规则的操作设置为 Count,然后通过规则 `ChallengeDDoSRequests` 调整 Challenge 响应的敏感度。 标签:`awswaf:managed:aws:anti-ddos:ChallengeAllDuringEvent` | | ChallengeDDoSRequests | 在资源遭受攻击期间,匹配受保护资源的请求,该资源满足或超过规则组已配置的质询敏感度设置。 规则操作:Challenge 仅可将此规则操作覆盖为 Allow 或 Count。不建议使用 Allow。任何情况下,该规则仅匹配带有 `challengeable-request` 标签的请求。 AWS WAF 只有当你将之前的规则Count中的操作改写为时,`ChallengeAllDuringEvent`才会评估此规则。 标签:`awswaf:managed:aws:anti-ddos:ChallengeDDoSRequests` | | DDoSRequests | 在资源遭受攻击期间,匹配受保护资源的请求,该资源满足或超过规则组已配置的阻断敏感度设置。 规则操作:Block 标签:`awswaf:managed:aws:anti-ddos:DDoSRequests` |