AWS WAF 分散式阻斷服務 (DDoS) 預防規則群組 - AWS WAFAWS Firewall Manager、 AWS Shield Advanced和 AWS Shield 網路安全主管
使用此規則群組此規則群組新增的標籤規則清單

推出 的新主控台體驗 AWS WAF

您現在可以使用更新後的體驗,在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊,請參閱使用更新的主控台體驗

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS WAF 分散式阻斷服務 (DDoS) 預防規則群組

本節說明 AWS WAF 受管規則群組,用於防範分散式阻斷服務 (DDoS) 攻擊。

VendorName:AWS、Name:AWSManagedRulesAntiDDoSRuleSet、WCU:50

注意

本文件涵蓋此受管規則群組的最新靜態版本版本。我們在 的 changelog 日誌中報告版本變更AWS 受管規則變更日誌。如需其他版本的資訊,請使用 API 命令 DescribeManagedRuleGroup

我們為 AWS 受管規則規則群組中的規則發佈的資訊旨在為您提供使用規則所需的內容,而不會給予不法份子規避規則所需的內容。

如果您需要比此處更多的資訊,請聯絡 AWS 支援 中心

反 DDoS 受管規則群組提供規則,可偵測和管理正在參與或可能正在參與 DDoS 攻擊的請求。此外,規則群組會標記它在可能事件期間評估的所有請求。

使用此規則群組的考量事項

此規則群組為進入 DDoS 攻擊資源的 Web 請求提供軟式和硬式緩解。若要偵測不同的威脅層級,您可以將這兩種緩解類型的敏感度調整為高、中或低可疑層級。

  • 軟性緩解 – 規則群組可以傳送靜音瀏覽器挑戰,以回應可處理挑戰間質的請求。如需執行挑戰需求的相關資訊,請參閱 CAPTCHA 和 Challenge動作行為

  • 硬性緩解 – 規則群組可以完全封鎖請求。

如需規則群組運作方式及設定方式的詳細資訊,請參閱 使用反 DDoS 受管規則群組的進階 AWS WAF 反 DDoS 保護

注意

當您使用此受管規則群組時,需支付額外費用。如需詳細資訊,請參閱AWS WAF 定價

此規則群組是 中智慧型威脅緩解保護的一部分 AWS WAF。如需相關資訊,請參閱中的智慧型威脅防禦 AWS WAF

為了將成本降至最低並最佳化流量管理,請根據最佳實務準則使用此規則群組。請參閱 中的智慧型威脅防禦最佳實務 AWS WAF

此規則群組新增的標籤

此受管規則群組會將標籤新增至其評估的 Web 請求,這些請求可供保護套件或 Web ACL 中此規則群組之後執行的規則使用。 AWS WAF 也會將標籤記錄到 Amazon CloudWatch 指標。如需標籤和標籤指標的一般資訊,請參閱 Web 請求標籤標籤指標和維度

字符標籤

此規則群組使用 AWS WAF 字符管理,根據其 AWS WAF 字符的狀態來檢查和標記 Web 請求。 AWS WAF 使用字符進行用戶端工作階段追蹤和驗證。

如需權杖和權杖管理的資訊,請參閱 用於 AWS WAF 智慧型威脅緩解的字符

如需此處所述標籤元件的詳細資訊,請參閱 中的標籤語法和命名需求 AWS WAF

用戶端工作階段標籤

標籤awswaf:managed:token:id:identifier包含 AWS WAF 字符管理用來識別用戶端工作階段的唯一識別符。如果用戶端取得新的字符,例如在捨棄正在使用的字符之後,識別符可能會變更。

注意

AWS WAF 不會報告此標籤的 Amazon CloudWatch 指標。

瀏覽器指紋標籤

標籤awswaf:managed:token:fingerprint:fingerprint-identifier包含強大的瀏覽器指紋識別符,權 AWS WAF 杖管理會從各種用戶端瀏覽器訊號運算。此識別符在多次字符擷取嘗試中保持不變。指紋識別符對單一用戶端來說不是唯一的。

注意

AWS WAF 不會報告此標籤的 Amazon CloudWatch 指標。

字符狀態標籤:標籤命名空間字首

字符狀態標籤會報告字符的狀態,以及其中包含的挑戰和 CAPTCHA 資訊。

每個字符狀態標籤都以下列其中一個命名空間字首開頭:

  • awswaf:managed:token: – 用來報告字符的一般狀態,以及報告字符挑戰資訊的狀態。

  • awswaf:managed:captcha: – 用來報告字符 CAPTCHA 資訊的狀態。

字符狀態標籤:標籤名稱

在字首後面,標籤的其餘部分提供詳細的字符狀態資訊:

  • accepted – 請求字符存在且包含下列項目:

    • 有效的挑戰或 CAPTCHA 解決方案。

    • 未過期的挑戰或 CAPTCHA 時間戳記。

    • 適用於保護套件或 Web ACL 的網域規格。

    範例:標籤awswaf:managed:token:accepted指出 Web 請求的權杖具有有效的挑戰解決方案、未過期的挑戰時間戳記,以及有效的網域。

  • rejected – 請求字符存在,但不符合接受條件。

    除了拒絕的標籤之外,字符管理還會新增自訂標籤命名空間和名稱,以指出原因。

    • rejected:not_solved – 字符缺少挑戰或 CAPTCHA 解決方案。

    • rejected:expired – 權杖的挑戰或 CAPTCHA 時間戳記已過期,根據您的保護套件或 Web ACL 設定的權杖抗擾性時間而定。

    • rejected:domain_mismatch – 字符的網域不符合您的保護套件或 Web ACL 的字符網域組態。

    • rejected:invalid – AWS WAF 無法讀取指定的字符。

    範例:標籤 awswaf:managed:captcha:rejectedawswaf:managed:captcha:rejected:expired一起指出請求沒有有效的 CAPTCHA 解決方法,因為字符中的 CAPTCHA 時間戳記已超過保護套件或 Web ACL 中設定的 CAPTCHA 字符豁免時間。

  • absent – 請求沒有字符或字符管理器無法讀取。

    範例:標籤awswaf:managed:captcha:absent指出請求沒有字符。

反 DDoS 標籤

反 DDoS 受管規則群組會產生具有命名空間字首的標籤,awswaf:managed:aws:anti-ddos:後面接著任何自訂命名空間和標籤名稱。每個標籤都會反映反 DDoS 調查結果的某些層面。

除了個別規則新增的標籤之外,規則群組還可能將下列多個標籤新增至請求。

  • awswaf:managed:aws:anti-ddos:event-detected – 表示請求將傳送至受管規則群組偵測到 DDoS 事件的受保護資源。當資源的流量與資源的流量基準有顯著偏差時,受管規則群組會偵測事件。

    當資源處於此狀態時,規則群組會將此標籤新增至資源的每個請求,因此合法流量和攻擊流量會取得此標籤。

  • awswaf:managed:aws:anti-ddos:ddos-request – 表示請求來自疑似參與事件的來源。

    除了一般標籤之外,規則群組還會新增下列標籤,指出可信度層級。

    awswaf:managed:aws:anti-ddos:low-suspicion-ddos-request – 表示可能的 DDoS 攻擊請求。

    awswaf:managed:aws:anti-ddos:medium-suspicion-ddos-request – 表示非常可能的 DDoS 攻擊請求。

    awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request – 表示非常可能的 DDoS 攻擊請求。

  • awswaf:managed:aws:anti-ddos:challengeable-request – 表示請求 URI 能夠處理Challenge動作。受管規則群組會將此套用至 URI 未豁免的任何請求。如果 URIs符合規則群組的豁免 URI 規則表達式,則會豁免 URI。

    如需可以接受無提示瀏覽器挑戰之請求需求的相關資訊,請參閱 CAPTCHA 和 Challenge動作行為

您可以透過 API 呼叫 來擷取規則群組的所有標籤DescribeManagedRuleGroup。這些標籤會列在回應的 AvailableLabels 屬性中。

Anti-DDoS 受管規則群組會將標籤套用至請求,但不一定會對其採取行動。請求管理取決於規則群組判斷是否參與攻擊的可信度。如果需要,您可以新增在規則群組之後執行的標籤比對規則,來管理規則群組標籤的請求。如需此 和範例的詳細資訊,請參閱 AWS WAF 分散式阻斷服務 (DDoS) 預防

反 DDoS 規則清單

本節列出反 DDoS 規則。

注意

本文件涵蓋此受管規則群組的最新靜態版本版本。我們在 的 changelog 日誌中報告版本變更AWS 受管規則變更日誌。如需其他版本的資訊,請使用 API 命令 DescribeManagedRuleGroup

我們為 AWS 受管規則規則群組中的規則發佈的資訊旨在為您提供使用規則所需的內容,而不會給予不法份子規避規則所需的內容。

如果您需要比此處更多的資訊,請聯絡 AWS 支援 中心

規則名稱 描述
ChallengeAllDuringEvent

比對具有目前受到攻擊awswaf:managed:aws:anti-ddos:challengeable-request之任何受保護資源標籤的請求。

規則動作:Challenge

您只能將此規則動作覆寫為 Allow或 Count。Allow 不建議使用 。對於任何規則動作設定,規則只會比對具有 challengeable-request標籤的請求。

此規則的組態會影響下一個規則的評估,ChallengeDDoSRequests. AWS WAF only 只會在受管規則群組的 Web ACL 組態中Count,此規則的動作覆寫設定為 時評估該規則。

如果您的工作負載容易受到未預期的請求量變更影響,我們建議您透過保留 的預設動作設定來挑戰所有具有挑戰性的請求Challenge。對於較不敏感的應用程式,您可以將此規則的動作設定為 ,Count然後使用規則 調整Challenge回應的敏感度ChallengeDDoSRequests

標籤: awswaf:managed:aws:anti-ddos:ChallengeAllDuringEvent
ChallengeDDoSRequests

在資源受到攻擊的期間,比對符合或超過規則群組所設定之挑戰敏感度設定的受保護資源請求。

規則動作:Challenge

您只能將此規則動作覆寫為 Allow或 Count。Allow 不建議使用 。在任何情況下,規則只會比對具有 challengeable-request標籤的請求。

AWS WAF 只有在您覆寫先前規則 Count中的 動作時,才會評估此規則ChallengeAllDuringEvent

標籤: awswaf:managed:aws:anti-ddos:ChallengeDDoSRequests
DDoSRequests

在資源受到攻擊的期間,比對符合或超過規則群組所設定區塊敏感度設定的受保護資源請求。

規則動作:Block

標籤: awswaf:managed:aws:anti-ddos:DDoSRequests