Reagieren auf DDoS-Ereignisse - AWS WAFAWS Firewall Manager, und AWS Shield Advanced
Kontaktaufnahme mit dem Support wegen eines Angriffs auf AnwendungsebeneManuelles Abwehren eines Angriffs auf Anwendungsebene

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Reagieren auf DDoS-Ereignisse

AWS wehrt Distributed-Denial-of-Service-Angriffe (DDoS) auf Netzwerk- und Transportebene (Layer 3 und Layer 4) automatisch ab. Wenn Sie Shield Advanced zum Schutz Ihrer Amazon EC2 EC2-Instances verwenden, verteilt Shield Advanced während eines Angriffs automatisch Ihre Amazon VPC-Netzwerk-ACLs an der Netzwerkgrenze. AWS Dadurch kann Shield Advanced Schutz vor größeren DDoS-Ereignissen bieten. Weitere Informationen zu Netzwerk-ACLs finden Sie unter Network ACLs.

Bei DDoS-Angriffen auf Anwendungsebene (Schicht 7) wird AWS versucht, AWS Shield Advanced Kunden durch CloudWatch Alarme zu erkennen und zu benachrichtigen. Standardmäßig werden Abhilfemaßnahmen nicht automatisch angewendet, um zu verhindern, dass versehentlich gültiger Benutzerverkehr blockiert wird.

Für Ressourcen auf Anwendungsebene (Schicht 7) stehen Ihnen die folgenden Optionen zur Verfügung, um auf einen Angriff zu reagieren.

Darüber hinaus können Sie, bevor ein Angriff stattfindet, proaktiv die folgenden Abhilfemaßnahmen aktivieren:

  • Automatische Abhilfemaßnahmen Amazon CloudFront Amazon-Distributionen — Mit dieser Option definiert und verwaltet Shield Advanced Regeln zur Schadensbegrenzung für Sie in Ihrer Web-ACL. Informationen zur automatischen Schadensbegrenzung auf Anwendungsebene finden Sie unter. Shield Advanced automatische DDoS-Abwehr auf Anwendungsebene

  • Proaktives Eingreifen — Wenn ein umfangreicher Angriff auf Anwendungsebene gegen eine Ihrer Anwendungen AWS Shield Advanced erkannt wird, kann das SRT Sie proaktiv kontaktieren. Das SRT analysiert das DDoS-Ereignis und sorgt für Gegenmaßnahmen. AWS WAF Das SRT kontaktiert Sie und kann mit Ihrer Zustimmung die Regeln anwenden. AWS WAF Weitere Informationen zu dieser Option finden Sie unter Konfiguration von proaktivem Engagement.

Kontaktaufnahme mit dem Support Center während eines DDoS-Angriffs auf Anwendungsebene

Wenn Sie ein AWS Shield Advanced Kunde sind, können Sie sich an das AWS Support Center wenden, um Hilfe bei der Abwehr zu erhalten. Kritische und dringende Fälle werden direkt an DDoS-Experten weitergeleitet. Mit AWS Shield Advanced können komplexe Fälle an das AWS Shield Response Team (SRT) weitergeleitet werden, das über umfangreiche Erfahrung im Schutz AWS von Amazon.com und seinen Tochtergesellschaften verfügt. Weitere Informationen zum SRT finden Sie unter. Unterstützung durch das Shield Response Team (SRT)

Um Support vom Shield Response Team (SRT) zu erhalten, wenden Sie sich an das AWS Support Center. Die Reaktionszeit für Ihren Fall hängt vom ausgewählten Schweregrad und den Reaktionszeiten ab, die auf der Seite AWS Support Pläne dokumentiert sind.

Wählen Sie die folgenden Optionen:

  • Falltyp: Technischer Support

  • Service: Distributed Denial of Service (DDoS)

  • Kategorie: Eingehend an AWS

  • Schweregrad: Wählen Sie eine geeignete Option

Erläutern Sie im Gespräch mit unserem Vertreter, dass Sie ein AWS Shield Advanced Kunde sind, der von einem möglichen DDoS-Angriff betroffen ist. Unsere Mitarbeiter leiten Ihren Anruf an die entsprechenden DDoS-Experten weiter. Wenn Sie beim AWS Support Center einen Fall über den Servicetyp Distributed Denial of Service (DDoS) eröffnen, können Sie per Chat oder Telefon direkt mit einem DDoS-Experten sprechen. DDoS-Supporttechniker können Ihnen bei der Identifizierung von Angriffen helfen, Verbesserungen an Ihrer AWS Architektur empfehlen und Sie bei der Nutzung von AWS Diensten zur Abwehr von DDoS-Angriffen beraten.

Bei Angriffen auf Anwendungsebene kann Ihnen das SRT bei der Analyse verdächtiger Aktivitäten helfen. Wenn Sie die automatische Abwehr für Ihre Ressource aktiviert haben, kann das SRT die Abhilfemaßnahmen überprüfen, die Shield Advanced automatisch gegen den Angriff einleitet. In jedem Fall kann Ihnen das SRT dabei helfen, das Problem zu überprüfen und zu beheben. Die vom SRT empfohlenen Maßnahmen erfordern häufig, dass das SRT AWS WAF Web-Zugriffskontrolllisten (Web-ACLs) in Ihrem Konto erstellt oder aktualisiert. Für diese Arbeit benötigt das SRT Ihre Zustimmung.

Wichtig

Wir empfehlen, dass Sie im Rahmen der Aktivierung die unter beschriebenen Schritte befolgen AWS Shield Advanced, Konfiguration des Zugriffs für das Shield Response Team (SRT) um dem SRT proaktiv die Berechtigungen zu erteilen, die es benötigt, um Sie bei einem Angriff zu unterstützen. Die frühzeitige Zustimmung verhindert Verzögerungen im Falle eines tatsächlichen Angriffs.

Das SRT hilft Ihnen bei der Triage des DDoS-Angriffs, um Angriffssignaturen und -muster zu identifizieren. Mit Ihrer Zustimmung erstellt und implementiert das SRT AWS WAF Regeln zur Abwehr des Angriffs.

Sie können sich auch vor oder während eines möglichen Angriffs an das SRT wenden, um Abhilfemaßnahmen zu überprüfen und maßgeschneiderte Abhilfemaßnahmen zu entwickeln und einzusetzen. Wenn Sie beispielsweise eine Webanwendung ausführen und nur die Ports 80 und 443 geöffnet haben müssen, können Sie mit dem SRT eine Web-ACL so vorkonfigurieren, dass nur die Ports 80 und 443 „zugelassen“ werden.

Sie autorisieren und kontaktieren das SRT auf Kontoebene. Das heißt, wenn Sie Shield Advanced innerhalb einer Firewall Manager Shield Advanced-Richtlinie verwenden, muss sich der Kontoinhaber, nicht der Firewall Manager Manager-Administrator, an das SRT wenden, um Support zu erhalten. Der Firewall Manager Manager-Administrator kann das SRT nur für Konten kontaktieren, die er besitzt.

Manuelles Abwehren eines DDoS-Angriffs auf Anwendungsebene

Wenn Sie feststellen, dass die Aktivität auf der Ereignisseite für Ihre Ressource einen DDoS-Angriff darstellt, können Sie in Ihrer Web-ACL eigene AWS WAF Regeln erstellen, um den Angriff abzuwehren. Dies ist die einzige verfügbare Option, wenn Sie kein Shield Advanced-Kunde sind. AWS WAF ist ohne zusätzliche Kosten AWS Shield Advanced im Preis enthalten. Informationen zum Erstellen von Regeln in Ihrer Web-ACL finden Sie unterAWS WAF Web-Zugriffskontrolllisten (Web-ACLs).

Wenn Sie verwenden AWS Firewall Manager, können Sie Ihre AWS WAF Regeln zu einer Firewall Manager AWS WAF Manager-Richtlinie hinzufügen.

Um einen potenziellen DDoS-Angriff auf Anwendungsebene manuell abzuwehren

  1. Erstellen Sie in Ihrer Web-ACL Regelanweisungen mit Kriterien, die dem ungewöhnlichen Verhalten entsprechen. Konfigurieren Sie sie zunächst so, dass übereinstimmende Anfragen gezählt werden. Informationen zur Konfiguration Ihrer Web-ACL und Regelanweisungen finden Sie unter Auswertung von Web-ACL-Regeln und -Regelgruppen undTesten und Optimieren Ihrer AWS WAF Schutzmaßnahmen.

    Anmerkung

    Testen Sie Ihre Regeln immer zuerst, indem Sie zunächst die Regelaktion Count anstelle von verwendenBlock. Wenn Sie sicher sind, dass Ihre neuen Regeln die richtigen Anfragen identifizieren, können Sie sie ändern, um die Anfragen zu blockieren.

  2. Überwachen Sie die Anzahl der Anfragen, um festzustellen, ob Sie die entsprechenden Anfragen blockieren möchten. Wenn das Volumen der Anfragen weiterhin ungewöhnlich hoch ist und Sie sicher sind, dass Ihre Regeln die Anfragen erfassen, die das hohe Volumen verursachen, ändern Sie die Regeln in Ihrer Web-ACL, um die Anfragen zu blockieren.

  3. Überwachen Sie weiterhin die Seite mit den Ereignissen, um sicherzustellen, dass Ihr Datenverkehr so behandelt wird, wie Sie es möchten.

AWS bietet vorkonfigurierte Vorlagen, damit Sie schnell loslegen können. Die Vorlagen enthalten eine Reihe von AWS WAF Regeln, die Sie anpassen und verwenden können, um gängige webbasierte Angriffe zu blockieren. Weitere Informationen finden Sie unter AWS WAF Security Automations.