Respuesta a eventos de DDoS - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced
Cómo ponerse en contacto con el servicio de asistencia para un ataque a la capa de aplicaciónMitigación manual de un ataque a la capa de aplicación

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Respuesta a eventos de DDoS

AWS mitiga automáticamente los ataques de denegación de servicio distribuido (DDoS) de red y transporte (capa 3 y capa 4). Si utiliza Shield Advanced para proteger sus instancias de Amazon EC2, durante un ataque, Shield Advanced despliega automáticamente las ACL de la red de Amazon VPC en el borde de la red de AWS . Esto permite a Shield Advanced brindar protección contra eventos de DDoS de mayor envergadura. Para obtener más información acerca de las ACL de red, consulte ACL de red.

En el caso de los ataques DDoS en la capa de aplicación (capa 7), AWS intenta detectar y notificar a AWS Shield Advanced los clientes mediante alarmas. CloudWatch De forma predeterminada, no aplica mitigaciones automáticamente para evitar bloquear inadvertidamente el tráfico de usuarios válidos.

En el caso de los recursos de la capa de aplicación (capa 7), dispone de las siguientes opciones para responder a un ataque.

Además, antes de que se produzca un ataque, puede activar de forma proactiva las siguientes opciones de mitigación:

  • Mitigaciones automáticas en las CloudFront distribuciones de Amazon: con esta opción, Shield Advanced define y gestiona las reglas de mitigación para usted en su ACL web. Para obtener información sobre la mitigación automática de la capa de aplicaciones, consulte Mitigación de DDoS de la capa de aplicación automática de Shield Advanced.

  • Interacción proactiva: cuando AWS Shield Advanced detecta un ataque de gran tamaño en la capa de aplicación contra una de sus aplicaciones, el SRT puede ponerse en contacto con usted de forma proactiva. El SRT clasifica el evento de DDoS y crea mitigaciones de AWS WAF . El SRT se pone en contacto con usted y, con su consentimiento, puede aplicar las reglas de AWS WAF . Para obtener más información acerca de esta opción, consulte Configuración de interacción proactiva.

Cómo ponerse en contacto con el centro de soporte durante un ataque DDoS en la capa de aplicación

Si es AWS Shield Advanced cliente, puede ponerse en contacto con el AWS Support Centro para obtener ayuda con las mitigaciones. Los casos críticos y urgentes se redirigen directamente a expertos DDoS. De AWS Shield Advanced este modo, los casos complejos se pueden remitir al AWS Shield Response Team (SRT), que tiene una amplia experiencia en la protección AWS de Amazon.com y sus subsidiarias. Para obtener más información sobre SRT, consulte Asistencia del equipo de respuesta de Shield (Shield Response Team, SRT).

Para obtener asistencia del equipo de respuesta de Shield (SRT), póngase en contacto con el Centro de AWS Support. El tiempo de respuesta de su caso depende de la gravedad que seleccione y los tiempos de respuesta, que están documentados en la página Planes de AWS Support.

Seleccione las siguientes opciones:

  • Tipo de caso: soporte técnico

  • Servicio: denegación de servicio distribuido (DDoS)

  • Categoría: Entrante a AWS

  • Gravedad: elija la opción correspondiente

Cuando hable con nuestro representante, explíquele que es un AWS Shield Advanced cliente que está siendo objeto de un posible ataque DDoS. Nuestro representante remitirá su llamada a los expertos DDoS adecuados. Si abre un caso con el Centro de AWS Support mediante el tipo de servicio Denegación de servicio distribuido (DDoS), puede hablar directamente con un experto en DDoS a través del chat o por teléfono. Los ingenieros de soporte de DDoS pueden ayudarlo a identificar los ataques, recomendar mejoras en su AWS arquitectura y brindarle orientación sobre el uso de los AWS servicios para mitigar los ataques DDoS.

En el caso de los ataques en la capa de aplicación, el SRT puede ayudarle a analizar la actividad sospechosa. Si tiene habilitada la mitigación automática para su recurso, el SRT puede revisar las mitigaciones que Shield Advanced aplica automáticamente contra el ataque. En cualquier caso, el SRT puede ayudarle a revisar y mitigar el problema. Las medidas de mitigación que recomienda la SRT suelen requerir que la SRT cree o actualice listas de control de acceso a la AWS WAF web (ACL web) en su cuenta. El SRT necesitará su permiso para realizar este trabajo.

importante

Te recomendamos que, como parte de la activación AWS Shield Advanced, sigas los pasos que se indican Configuración del acceso para el equipo de respuesta de Shield (SRT) a continuación para proporcionar al SRT de forma proactiva los permisos que necesita para ayudarte durante un ataque. Proporcionar permiso de antemano ayuda a evitar retrasos si se produce un ataque real.

El SRT le ayuda a clasificar el ataque DDoS para identificar firmas y patrones de ataque. Con tu consentimiento, el SRT crea e implementa AWS WAF reglas para mitigar el ataque.

También puede ponerse en contacto con el SRT antes o durante un posible ataque para revisar mitigaciones y desarrollar e implementar mitigaciones personalizadas. Por ejemplo, si ejecuta una aplicación web y solo necesita tener abiertos los puertos 80 y 443, puede trabajar con el SRT para preconfigurar una ACL web que permita ("allow") únicamente los puertos 80 y 443.

Debe autorizar y contactar con el SRT en el nivel de cuenta. Es decir, si utiliza Shield Advanced en una política de Shield Advanced de Firewall Manager, es el propietario de la cuenta, no el administrador de Firewall Manager, quien debe ponerse en contacto con el SRT para solicitar asistencia. El administrador de Firewall Manager puede contactar con el SRT solo para las cuentas de las que sea propietario.

Mitigación manual de un ataque DDoS en la capa de aplicación

Si determina que la actividad de la página de eventos de su recurso representa un ataque DDoS, puede crear sus propias AWS WAF reglas en su ACL web para mitigar el ataque. Esta es la única opción disponible si no eres cliente de Shield Advanced. AWS WAF se incluye sin AWS Shield Advanced coste adicional. Para obtener información sobre la creación de reglas en su ACL web, consulte AWS WAF listas de control de acceso web (ACL web).

Si las usa AWS Firewall Manager, puede agregar sus AWS WAF reglas a una AWS WAF política de Firewall Manager.

Cómo mitigar manualmente un ataque DDoS en la posible capa de aplicación

  1. Cree declaraciones de reglas en su ACL web con criterios que coincidan con el comportamiento inusual. Para empezar, configúrelas para que cuenten las solicitudes coincidentes. Para obtener información sobre la configuración de la ACL web y las declaraciones de reglas, consulte Evaluación de reglas y grupos de reglas de ACL web y Probando y ajustando sus AWS WAF protecciones.

    nota

    Pruebe siempre primero las reglas; para ello, utilice inicialmente la acción de regla Count en lugar de Block. Cuando tenga la seguridad de que sus nuevas reglas identifican las solicitudes correctas, puede modificarlas para bloquear las solicitudes.

  2. Supervise los recuentos de solicitudes para determinar si desea bloquear las solicitudes coincidentes. Si el volumen de solicitudes sigue siendo inusualmente alto y está seguro de que sus reglas están capturando las solicitudes que están causando el alto volumen, cambie las reglas de su ACL web para bloquear las solicitudes.

  3. Continúe supervisando la página de eventos para asegurarse de que su tráfico se gestiona como desee.

AWS proporciona plantillas preconfiguradas para que pueda empezar rápidamente. Las plantillas incluyen un conjunto de AWS WAF reglas que puede personalizar y utilizar para bloquear los ataques habituales basados en la web. Para obtener más información, consulte Automatizaciones de seguridad de AWS WAF.