**引入全新的主机体验 AWS WAF**
现在,您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息,请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 在中响应 DDo S 事件 AWS
本页说明了如何 AWS 响应 DDo S 攻击,并提供了如何进一步响应的选项。
AWS 自动缓解网络和传输层(第 3 层和第 4 层)的攻击DDo。如果您使用 Shield Advanced 来保护您的亚马逊 EC2 实例,则在攻击期间,Shield Advanced 会自动将您的 Amazon VPC 网络部署 ACLs 到 AWS 网络边界。这使得 Shield Advanced 能够针对较大 DDo的 S 事件提供保护。有关网络的更多信息 ACLs,请参阅[网络ACLs](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_ACLs.html)。
对于应用层(第 7 层) DDo的攻击, AWS 尝试检测并通过 CloudWatch 警报通知 AWS Shield Advanced 客户。默认情况下,它不会自动应用缓解措施,以避免无意中阻止有效的用户流量。
对于应用程序层(第 7 层)资源,您可以使用以下选项来响应攻击。
+ **提供您自己的缓解措施**:您可以自行调查和缓解攻击。有关信息,请参阅[手动缓解应用层 DDo S 攻击](ddos-responding-manual.md)。
+ **联系支持人员**:如果您是 Shield Advanced 客户,可以联系 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)寻求缓解方面的帮助。危急和紧急病例直接转交给 DDo S专家。有关信息,请参阅[在应用层 DDo S 攻击期间联系支持中心](ddos-responding-contact-support.md)。
此外,在攻击发生之前,您可以主动启用以下缓解选项:
+ **对亚马逊 CloudFront 分发进行自动缓解** — 使用此选项,Shield Advanced 可以在您的网络 ACL 中为您定义和管理缓解规则。有关应用程序层自动缓解的信息,请参阅 [使用 Shield Advanced 自动缓解应用层 DDo S](ddos-automatic-app-layer-response.md)。
+ **主动参与** — 当 AWS Shield Advanced 检测到针对您的一个应用程序的大型应用程序层攻击时,SRT 可以主动与您联系。SRT 会对 DDo S 事件进行分类并创建 AWS WAF 缓解措施。SRT 会与您联系,并且经您同意,可以适用 AWS WAF 规则。有关此选项的更多信息,请参阅 [设置主动参与,让 SRT 直接与您联系](ddos-srt-proactive-engagement.md)。
# 在应用层 DDo S 攻击期间联系支持中心
本页提供了在应用层 DDo S 攻击期间联系支持中心的说明。
如果您是 AWS Shield Advanced 客户,可以联系[AWS 支持 中心](https://console.aws.amazon.com/support/home#/)寻求缓解方面的帮助。危急和紧急病例直接转交给 DDo S专家。因此 AWS Shield Advanced,复杂的案例可以上报给在保护 AWS Amazon.com 及其子公司方面拥有丰富经验的 AWS Shield 响应小组 (SRT)。有关 SRT 的更多信息,请参阅 [支持 Shield 响应小组 (SRT) 的托管 DDo S 事件响应](ddos-srt-support.md)。
要获得 Shield 响应小组 (SRT) 支持,请联系 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。对您的案例的响应时间取决于您选择的严重性以及 [AWS 支持 计划](https://aws.amazon.com/premiumsupport/compare-plans/)页面中记录的响应时间。
选择以下选项:
+ 案例类型:技术支持
+ 服务:分布式拒绝服务 (DDoS)
+ 类别:入境至 AWS
+ 严重性: *选择适当的选项*
在与我们的代表讨论时,请说明您是可能遭受 DDo S 攻击的 AWS Shield Advanced 客户。我们的代表会将您的电话转给相应的 DDo S 专家。如果您使用**分布式拒绝服务 (DDoS) 服务**类型向[AWS 支持 中心](https://console.aws.amazon.com/support/home#/)提交案例,则可以通过聊天或电话直接与 DDo S 专家交谈。 DDoS 支持工程师可以帮助您识别攻击、推荐 AWS 架构改进建议,并指导如何使用 AWS 服务缓解 DDo S 攻击。
对于应用程序层攻击,SRT 可以帮助您分析可疑活动。如果您为资源启用了自动缓解功能,SRT 可以审查 Shield Advanced 自动针对攻击采取的缓解措施。无论如何,SRT 可以帮助您审查和缓解问题。SRT 建议的缓解措施通常要求 SRT 在您的账户中创建或更新 AWS WAF 网络访问控制列表 (Web ACLs)。要完成这项工作,SRT 需要首先获得您的许可。
**重要**
我们建议在启用过程中 AWS Shield Advanced,按照中的步骤主动[向 SRT 授予访问权限](ddos-srt-access.md)向 SRT 提供他们在攻击期间为您提供帮助所需的权限。提前提供授权有助于防止在实际发生攻击时耽误问题的解决。
SRT 可帮助您对 DDo S 攻击进行分类,以识别攻击特征和模式。经您同意,SRT 会创建并部署 AWS WAF 规则来缓解攻击。
您也可以在可能的攻击前或在攻击期间联系 SRT,以便审查缓解措施并开发和部署自定义缓解措施。例如,如果您正在运行一个 Web 应用程序且只需打开端口 80 和 443,您可以与 SRT 一起预先配置一个 Web ACL,只“允许”打开端口 80 和 443。
您在账户级别授权和联系 SRT。也就是说,如果您在 Firewall Manager Shield Advanced 策略中使用 Shield Advanced,则必须由账户所有者(而不是 Firewall Manager 管理员)联系 SRT 寻求支持。Firewall Manager 管理员只能为他们拥有的账户联系 SRT。
# 手动缓解应用层 DDo S 攻击
本页提供手动缓解应用层 DDo S 攻击的说明。
如果您确定资源的事件页面中的活动代表 DDo S 攻击,则可以在 Web ACL 中创建自己的 AWS WAF 规则来缓解攻击。如果您不是 Shield Advanced 客户,这是唯一可用的选项。 AWS WAF 包含 AWS Shield Advanced 在内,无需支付额外费用。有关在 Web ACL 中创建规则的更多信息,请参阅 [在中配置保护 AWS WAF](web-acl.md)。
如果您使用 AWS Firewall Manager,则可以将您的 AWS WAF 规则添加到 Firewall Manager AWS WAF 策略中。
**手动缓解潜在的应用层 DDo S 攻击**
1. 在 Web ACL 中创建符合异常行为的标准的规则语句。首先,将它们配置为对匹配请求进行计数。有关配置 Web ACL 和规则语句的信息,请参阅 [使用包含规则和规则组的保护包 (Web ACLs) AWS WAF](web-acl-processing.md) 和 [测试和调整您的 AWS WAF 保护措施](web-acl-testing.md)。
**注意**
请务必先使用规则操作 Count 而不是 Block 来测试您的规则。在您认为新规则能确定正确的请求后,便可以修改规则以阻止这些请求。
1. 监控请求计数以确定是否要阻止匹配的请求。如果请求量仍然异常高,并且您确信自己的规则正在捕获导致大量流量的请求,请更改 Web ACL 中的规则以阻止这些请求。
1. 继续监控事件页面,确保您的流量按您期望的方式进行处理。
AWS 提供了预配置的模板以帮助您快速入门。这些模板包含一组 AWS WAF 规则,您可以自定义这些规则,并使用这些规则来阻止常见的基于 Web 的攻击。有关更多信息,请参阅 [AWS WAF 安全自动化](https://aws.amazon.com/solutions/aws-waf-security-automations/)。