AWS WAF — Ratenbasierte Regeln - AWS Bewährte Methoden für DDoS Resilienz

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS WAF — Ratenbasierte Regeln

AWS empfiehlt dringend, sich vor einer Flut von HTTP Anfragen zu schützen, indem die ratenbasierten Regeln verwendet werden AWS WAF , um IP-Adressen böswilliger Akteure automatisch zu blockieren, wenn die Anzahl der Anfragen, die in einem 5-minütigen gleitenden Fenster eingehen, einen von Ihnen definierten Schwellenwert überschreitet. IP-Adressen von Clients, bei denen ein Verstoß vorliegt, erhalten eine verbotene 403-Antwort (oder eine konfigurierte Blockfehlerantwort) und bleiben blockiert, bis die Anforderungsraten unter den Schwellenwert fallen.

Es wird empfohlen, ratenbasierte Regeln zu kombinieren, um einen besseren Schutz zu bieten, sodass Sie:

  • Eine pauschale ratenbasierte Regel zum Schutz Ihrer Anwendung vor großen Fluten. HTTP

  • Eine oder mehrere ratenbasierte Regeln zum Schutz bestimmter URIs Regeln zu restriktiveren Tarifen als die pauschale ratenbasierte Regel.

Sie können beispielsweise eine pauschale, ratenbasierte Regel (keine Angabe zum Umfang) mit einer Obergrenze von 500 Anfragen innerhalb von 5 Minuten wählen und dann mithilfe von Scope-down-Aussagen eine oder mehrere der folgenden ratenbasierten Regeln mit niedrigeren Grenzwerten als 500 (bis zu 100 Anfragen innerhalb von 5 Minuten) erstellen:

  • Schützen Sie Ihre Webseiten mit einer Scopedown-Anweisung wie "if NOT uri_path contains '.'", sodass Anfragen nach Ressourcen ohne Dateierweiterung weiter geschützt sind. Dadurch wird auch Ihre Homepage (/) geschützt, die häufig als URI Zielpfad angesehen wird.

  • Schützen Sie dynamische Endpunkte mit einer Scopedown-Anweisung wie "“ if method exactly matches 'post' (convert lowercase)

  • Schützen Sie umfangreiche Anfragen, die Ihre Datenbank erreichen oder ein Einmalkennwort (OTP) aufrufen, mit einem Scopedown wie "“ if uri_path starts_with '/login' OR uri_path starts_with '/signup' OR uri_path starts_with '/forgotpassword'

Ratenbasierte Lösungen im Blockmodus bilden den Eckpfeiler Ihrer defense-in-depth WAF Konfiguration zum Schutz vor einer Flut von Anfragen und sind Voraussetzung für die Genehmigung von AWS Shield Advanced Kostenschutzanfragen. In den folgenden Abschnitten werden wir weitere defense-in-depth WAF Konfigurationen untersuchen.