Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Respuesta a eventos de DDoS
AWS mitiga automáticamente los ataques de denegación de servicio distribuido (DDoS) de red y transporte (capa 3 y capa 4). Si utiliza Shield Advanced para proteger sus instancias de Amazon EC2, durante un ataque, Shield Advanced despliega automáticamente las ACL de la red de Amazon VPC en el borde de la red de AWS . Esto permite a Shield Advanced brindar protección contra eventos de DDoS de mayor envergadura. Para obtener más información acerca de las ACL de red, consulte ACL de red.
En el caso de los ataques DDoS en la capa de aplicación (capa 7), AWS intenta detectar y notificar a AWS Shield Advanced los clientes mediante alarmas. CloudWatch De forma predeterminada, no aplica mitigaciones automáticamente para evitar bloquear inadvertidamente el tráfico de usuarios válidos.
En el caso de los recursos de la capa de aplicación (capa 7), dispone de las siguientes opciones para responder a un ataque.
-
Proporcionar sus propias mitigaciones: puede investigar y mitigar el ataque por su cuenta. Para obtener más información, consulte Mitigación manual de un ataque DDoS en la capa de aplicación.
-
Ponerse en contacto con el servicio de asistencia: si es cliente de Shield Advanced, puede ponerse en contacto con el Centro de AWS Support
para obtener ayuda con las mitigaciones. Los casos críticos y urgentes se redirigen directamente a expertos DDoS. Para obtener más información, consulte Cómo ponerse en contacto con el centro de soporte durante un ataque DDoS en la capa de aplicación.
Además, antes de que se produzca un ataque, puede activar de forma proactiva las siguientes opciones de mitigación:
-
Mitigaciones automáticas en las CloudFront distribuciones de Amazon: con esta opción, Shield Advanced define y gestiona las reglas de mitigación para usted en su ACL web. Para obtener información sobre la mitigación automática de la capa de aplicaciones, consulte Mitigación de DDoS de la capa de aplicación automática de Shield Advanced.
-
Interacción proactiva: cuando AWS Shield Advanced detecta un ataque de gran tamaño en la capa de aplicación contra una de sus aplicaciones, el SRT puede ponerse en contacto con usted de forma proactiva. El SRT clasifica el evento de DDoS y crea mitigaciones de AWS WAF . El SRT se pone en contacto con usted y, con su consentimiento, puede aplicar las reglas de AWS WAF . Para obtener más información acerca de esta opción, consulte Configuración de interacción proactiva.
Cómo ponerse en contacto con el centro de soporte durante un ataque DDoS en la capa de aplicación
Si es AWS Shield Advanced cliente, puede ponerse en contacto con el AWS Support Centro
Para obtener asistencia del equipo de respuesta de Shield (SRT), póngase en contacto con el Centro de AWS Support
Seleccione las siguientes opciones:
Tipo de caso: soporte técnico
Servicio: denegación de servicio distribuido (DDoS)
Categoría: Entrante a AWS
Gravedad: elija la opción correspondiente
Cuando hable con nuestro representante, explíquele que es un AWS Shield Advanced cliente que está siendo objeto de un posible ataque DDoS. Nuestro representante remitirá su llamada a los expertos DDoS adecuados. Si abre un caso con el Centro de AWS Support
En el caso de los ataques en la capa de aplicación, el SRT puede ayudarle a analizar la actividad sospechosa. Si tiene habilitada la mitigación automática para su recurso, el SRT puede revisar las mitigaciones que Shield Advanced aplica automáticamente contra el ataque. En cualquier caso, el SRT puede ayudarle a revisar y mitigar el problema. Las medidas de mitigación que recomienda la SRT suelen requerir que la SRT cree o actualice listas de control de acceso a la AWS WAF web (ACL web) en su cuenta. El SRT necesitará su permiso para realizar este trabajo.
importante
Te recomendamos que, como parte de la activación AWS Shield Advanced, sigas los pasos que se indican Configuración del acceso para el equipo de respuesta de Shield (SRT) a continuación para proporcionar al SRT de forma proactiva los permisos que necesita para ayudarte durante un ataque. Proporcionar permiso de antemano ayuda a evitar retrasos si se produce un ataque real.
El SRT le ayuda a clasificar el ataque DDoS para identificar firmas y patrones de ataque. Con tu consentimiento, el SRT crea e implementa AWS WAF reglas para mitigar el ataque.
También puede ponerse en contacto con el SRT antes o durante un posible ataque para revisar mitigaciones y desarrollar e implementar mitigaciones personalizadas. Por ejemplo, si ejecuta una aplicación web y solo necesita tener abiertos los puertos 80 y 443, puede trabajar con el SRT para preconfigurar una ACL web que permita ("allow") únicamente los puertos 80 y 443.
Debe autorizar y contactar con el SRT en el nivel de cuenta. Es decir, si utiliza Shield Advanced en una política de Shield Advanced de Firewall Manager, es el propietario de la cuenta, no el administrador de Firewall Manager, quien debe ponerse en contacto con el SRT para solicitar asistencia. El administrador de Firewall Manager puede contactar con el SRT solo para las cuentas de las que sea propietario.
Mitigación manual de un ataque DDoS en la capa de aplicación
Si determina que la actividad de la página de eventos de su recurso representa un ataque DDoS, puede crear sus propias AWS WAF reglas en su ACL web para mitigar el ataque. Esta es la única opción disponible si no eres cliente de Shield Advanced. AWS WAF se incluye sin AWS Shield Advanced coste adicional. Para obtener información sobre la creación de reglas en su ACL web, consulte AWS WAF listas de control de acceso web (ACL web).
Si las usa AWS Firewall Manager, puede agregar sus AWS WAF reglas a una AWS WAF política de Firewall Manager.
Cómo mitigar manualmente un ataque DDoS en la posible capa de aplicación
-
Cree declaraciones de reglas en su ACL web con criterios que coincidan con el comportamiento inusual. Para empezar, configúrelas para que cuenten las solicitudes coincidentes. Para obtener información sobre la configuración de la ACL web y las declaraciones de reglas, consulte Evaluación de reglas y grupos de reglas de ACL web y Probando y ajustando sus AWS WAF protecciones.
nota
Pruebe siempre primero las reglas; para ello, utilice inicialmente la acción de regla Count en lugar de Block. Cuando tenga la seguridad de que sus nuevas reglas identifican las solicitudes correctas, puede modificarlas para bloquear las solicitudes.
-
Supervise los recuentos de solicitudes para determinar si desea bloquear las solicitudes coincidentes. Si el volumen de solicitudes sigue siendo inusualmente alto y está seguro de que sus reglas están capturando las solicitudes que están causando el alto volumen, cambie las reglas de su ACL web para bloquear las solicitudes.
-
Continúe supervisando la página de eventos para asegurarse de que su tráfico se gestiona como desee.
AWS proporciona plantillas preconfiguradas para que pueda empezar rápidamente. Las plantillas incluyen un conjunto de AWS WAF reglas que puede personalizar y utilizar para bloquear los ataques habituales basados en la web. Para obtener más información, consulte Automatizaciones de seguridad de AWS WAF