介绍 AWS WAF 的全新控制台体验
现在,您可以使用更新后的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息,请参阅 使用更新的控制台体验。
AWS Shield Advanced 指标
Shield Advanced 会发布其保护的所有资源的 Amazon CloudWatch 检测、缓解和顶级贡献者指标。这些指标使您可以为资源创建和配置 CloudWatch 控制面板和警报,从而提高您监控资源的能力。
Shield Advanced 控制台提供了其记录的众多指标的摘要。有关信息,请参阅 使用 Shield 提供对 DoS 事件的可见性。
如果启用应用程序层 DDoS 自动缓解以提供应用程序层保护,Shield Advanced 会在保护包(web ACL)中添加用于管理自动保护的规则组。此规则组生成 AWS WAF 指标,但无法查看。这与您在保护包(web ACL)中使用但不拥有的其他任何规则组相同,例如 AWS 托管规则的规则组。有关 AWS WAF 指标的更多信息,请参阅AWS WAF 指标和维度。有关该 Shield Advanced 保护选项的信息,请参阅 使用 Shield Advanced 自动化应用程序层 DDoS 缓解 。
指标报告位置
Shield Advanced 报告的美国东部(弗吉尼亚州北部)区域 us-east-1 的指标如下:
全局服务 Amazon CloudFront 和 Amazon Route 53。
-
保护组 有关保护组的信息,请参阅 对 AWS Shield Advanced 保护进行分组。
对于其他资源类型,Shield Advanced 会报告资源所在区域的指标。
报告指标的时间
Shield Advanced 在 DDoS 事件期间向 Amazon CloudWatch 报告 AWS 资源指标的频率要高于没有事件发生时的频率。Shield Advanced 在活动期间每分钟报告一次指标,然后在活动结束后立即报告一次。
在没有事件的情况下,Shield Advanced 会每天报告一次分配给指定资源的指标。此定期报告使指标保持活动状态并可用于自定义 CloudWatch 警报和控制面板。
警报推荐
我们建议您创建警报,以通知您需要注意的情况。首先,您可以为每个受保护的资源创建一个警报,在 DDoSDetected 检测指标不为零时进行报告。此指标中的非零值并不一定表示正在进行 DDoS 攻击,但我们建议在指标处于此状态时仔细查看资源状态。
对于请求泛洪,我们建议您为综合检查创建警报,同时考虑应用程序运行状况和 web 请求量等因素。您可以选择对报告不同攻击向量维度的流量的其他三个指标发出警报。通过考虑应用程序的容量并在流量接近应用程序限制时发出警报,您可以创建一组规则,在需要时通知您,而不会产生太多不必要的噪音。
检测指标
Shield Advanced 在 AWS/DDoSProtection 命名空间中提供指标和维度。
| 指标 | 描述 |
|---|---|
DDoSDetected |
指示特定 Amazon 资源名称 (ARN) 的 DDoS 事件是否正在进行中。 在事件发生期间,此指标的值为非零。 |
DDoSAttackBitsPerSecond |
特定 Amazon 资源名称 (ARN) 的 DDoS 事件期间观察到的位数。该指标仅适用于网络层和传输层(第 3 层和第 4 层)DDoS 事件。 在事件发生期间,此指标的值为非零。 单位:位 |
DDoSAttackPacketsPerSecond |
特定 Amazon 资源名称 (ARN) 的 DDoS 事件期间观察到的数据包数。该指标仅适用于网络层和传输层(第 3 层和第 4 层)DDoS 事件。 在事件发生期间,此指标的值为非零。 单位:数据包 |
DDoSAttackRequestsPerSecond |
特定 Amazon 资源名称 (ARN) 的 DDoS 事件期间观察到的请求数。该指标仅适用于第 7 层 DDoS 事件。仅针对最重要的第 7 层事件报告指标。 在事件发生期间,此指标的值为非零。 单位:请求 |
Shield Advanced 发布不具有其他维度的 DDoSDetected 指标。其余的检测指标包括以下列表中与攻击类型相对应的 AttackVector 维度:
-
ACKFlood -
ChargenReflection -
DNSReflection -
GenericUDPReflection -
MemcachedReflection -
MSSQLReflection -
NetBIOSReflection -
NTPReflection -
PortMapper -
RequestFlood -
RIPReflection -
SNMPReflection -
SSDPReflection -
SYNFlood -
UDPFragment -
UDPTraffic -
UDPReflection
缓解指标
Shield Advanced 在 AWS/DDoSProtection 命名空间中提供指标和维度。
| 指标 | 描述 |
|---|---|
VolumePacketsPerSecond |
为响应检测到的事件而部署的缓解措施每秒丢弃或通过的数据包数量。 单位:数据包 |
| 维度 | 描述 |
|---|---|
|
|
Amazon 资源名称 (ARN) |
|
|
应用缓解措施的结果。可能的值为 |
排名靠前的贡献者指标
Shield Advanced 在 AWS/DDoSProtection 命名空间中提供指标。
| 指标 | 描述 |
|---|---|
VolumePacketsPerSecond |
排名靠前的贡献者的每秒数据包数。 单位:数据包 |
VolumeBitsPerSecond |
排名靠前的贡献者的每秒比特数。 单位:位 |
Shield Advanced 按代表事件贡献者的维度组合发布排名靠前的贡献者的指标。您能够将以下维度组合作为排名靠前的贡献者的指标使用:
-
ResourceArn,Protocol -
ResourceArn,Protocol,SourcePort -
ResourceArn,Protocol,DestinationPort -
ResourceArn,Protocol,SourceIp -
ResourceArn,Protocol,SourceAsn -
ResourceArn,TcpFlags
| 维度 | 描述 |
|---|---|
|
|
Amazon 资源名称(ARN)。 |
|
|
IP 协议名称, |
|
|
源 TCP 或 UDP 端口。 |
|
|
目标 TCP 或 UDP 端口。 |
|
|
源 IP 地址 |
|
|
源自治系统号(ASN)。 |
|
|
TCP 数据包中存在的标志组合,用短划线 ( |
