Lorsque vous activez l'atténuation automatique Lors d'une attaque DDoS Comment Shield Advanced gère le paramètre d'action Quand une attaque s'atténue Lorsque vous désactivez l'atténuation automatique

Comment Shield Advanced gère l'atténuation automatique

Les rubriques de la section décrivent comment Shield Advanced gère vos modifications de configuration pour l'atténuation automatique des attaques DDoS au niveau de la couche application et comment il gère les attaques DDoS lorsque l'atténuation automatique est activée.

Rubriques

Que se passe-t-il lorsque vous activez l'atténuation automatique
Comment Shield Advanced répond aux attaques DDoS grâce à une atténuation automatique
Comment Shield Advanced gère le paramètre d'action des règles
Comment Shield Advanced gère les mesures d'atténuation lorsqu'une attaque s'atténue
Que se passe-t-il lorsque vous désactivez l'atténuation automatique

Que se passe-t-il lorsque vous activez l'atténuation automatique

Shield Advanced effectue les opérations suivantes lorsque vous activez l'atténuation automatique :

Le cas échéant, ajoute un groupe de règles pour une utilisation dans Shield Advanced. Si l'ACL AWS WAF Web que vous avez associée à la ressource ne dispose pas encore d'une AWS WAF règle de groupe de règles dédiée à l'atténuation automatique des attaques DDoS au niveau de la couche application, Shield Advanced en ajoute une.

Le nom de la règle du groupe de règles commence parShieldMitigationRuleGroup. Le groupe de règles contient toujours une règle basée sur le débit nomméeShieldKnownOffenderIPRateBasedRule, qui limite le volume de demandes provenant d'adresses IP connues pour être à l'origine d'attaques DDoS. Pour plus de détails sur le groupe de règles Shield Advanced et la règle ACL Web qui y fait référence, consultezLe groupe de règles Shield Advanced.
Commence à répondre aux attaques DDoS contre la ressource — Shield Advanced répond automatiquement aux attaques DDoS visant la ressource protégée. Outre la règle basée sur le taux, qui est toujours présente, Shield Advanced utilise son groupe de AWS WAF règles pour déployer des règles personnalisées visant à atténuer les attaques DDoS. Shield Advanced adapte ces règles à votre application et aux attaques qu'elle subit, et les teste par rapport au trafic historique de la ressource avant de les déployer.

Shield Advanced utilise une règle de groupe de règles unique dans toutes les ACL Web que vous utilisez pour une atténuation automatique. Si Shield Advanced a déjà ajouté le groupe de règles pour une autre ressource protégée, il n'ajoute aucun autre groupe de règles à l'ACL Web.

L'atténuation automatique des attaques DDoS au niveau de la couche applicative dépend de la présence du groupe de règles pour atténuer les attaques. Si le groupe de règles est supprimé de l'ACL AWS WAF Web pour une raison quelconque, la suppression désactive l'atténuation automatique pour toutes les ressources associées à l'ACL Web.

Comment Shield Advanced répond aux attaques DDoS grâce à une atténuation automatique

Lorsque l'atténuation automatique est activée sur une ressource protégée, la règle ShieldKnownOffenderIPRateBasedRule basée sur le taux du groupe de règles Shield Advanced répond automatiquement aux volumes de trafic élevés provenant de sources DDoS connues. Cette limitation de débit est appliquée rapidement et constitue une défense de première ligne contre les attaques.

Lorsque Shield Advanced détecte une attaque, il effectue les opérations suivantes :

Tente d'identifier une signature d'attaque qui isole le trafic d'attaque du trafic normal vers votre application. L'objectif est de produire des règles d'atténuation des attaques DDoS de haute qualité qui, une fois mises en place, n'affectent que le trafic d'attaque et n'ont aucun impact sur le trafic normal de votre application.
Évalue la signature d'attaque identifiée par rapport aux modèles de trafic historiques pour la ressource attaquée ainsi que pour toute autre ressource associée à la même ACL Web. Shield Advanced le fait avant de déployer des règles en réponse à l'événement.

En fonction des résultats de l'évaluation, Shield Advanced effectue l'une des opérations suivantes :
- Si Shield Advanced détermine que la signature d'attaque isole uniquement le trafic impliqué dans l'attaque DDoS, il implémente la signature dans les règles du groupe de AWS WAF règles d'atténuation Shield Advanced de l'ACL Web. Shield Advanced attribue à ces règles le paramètre d'action que vous avez configuré pour l'atténuation automatique de la ressource, Count soitBlock.
- Dans le cas contraire, Shield Advanced ne place aucune mesure d'atténuation.

Tout au long d'une attaque, Shield Advanced envoie les mêmes notifications et fournit les mêmes informations sur les événements que pour les protections de base de la couche d'application Shield Advanced. Vous pouvez consulter les informations sur les événements et les attaques DDoS, ainsi que sur les mesures d'atténuation mises en place par Shield Advanced en cas d'attaques, dans la console d'événements Shield Advanced. Pour plus d’informations, consultez Visibilité sur les événements DDoS.

Si vous avez configuré l'atténuation automatique pour utiliser l'action des Block règles et que les règles d'atténuation déployées par Shield Advanced présentent des faux positifs, vous pouvez modifier l'action de la règle enCount. Pour plus d'informations sur la procédure à suivre, consultezModification de l'action utilisée pour l'atténuation automatique des attaques DDoS au niveau de la couche applicative.

Comment Shield Advanced gère le paramètre d'action des règles

Vous pouvez définir l'action de la règle pour vos mesures d'atténuation automatiques sur Block ouCount.

Lorsque vous modifiez le paramètre d'action de la règle d'atténuation automatique pour une ressource protégée, Shield Advanced met à jour tous les paramètres des règles pour la ressource. Il met à jour toutes les règles actuellement en place pour la ressource du groupe de règles Shield Advanced et utilise le nouveau paramètre d'action lorsqu'il crée de nouvelles règles.

Pour les ressources qui utilisent la même ACL Web, si vous spécifiez des actions différentes, Shield Advanced utilise le paramètre Block d'action de la règle ShieldKnownOffenderIPRateBasedRule basée sur le taux du groupe de règles. Shield Advanced crée et gère les autres règles du groupe de règles pour le compte d'une ressource protégée spécifique, et utilise le paramètre d'action que vous avez spécifié pour la ressource. Toutes les règles du groupe de règles Shield Advanced d'une ACL Web sont appliquées au trafic Web de toutes les ressources associées.

La modification du paramètre d'action peut prendre quelques secondes pour se propager. Pendant ce temps, il est possible que vous voyiez l'ancien paramètre à certains endroits où le groupe de règles est utilisé, et le nouveau paramètre à d'autres endroits.

Vous pouvez modifier le paramètre d'action des règles pour votre configuration d'atténuation automatique sur la page des événements de la console et via la page de configuration de la couche application. Pour plus d'informations sur la page des événements, consultezRéagir aux événements DDoS. Pour plus d'informations sur la page de configuration, consultezConfiguration des protections DDoS au niveau de la couche applicative.

Comment Shield Advanced gère les mesures d'atténuation lorsqu'une attaque s'atténue

Lorsque Shield Advanced détermine que les règles d'atténuation déployées pour une attaque particulière ne sont plus nécessaires, il les supprime du groupe de règles d'atténuation Shield Advanced.

La suppression des règles atténuantes ne coïncidera pas nécessairement avec la fin d'une attaque. Shield Advanced surveille les types d'attaques qu'il détecte sur vos ressources protégées. Il peut se défendre de manière proactive contre la récurrence d'une attaque portant une signature spécifique en maintenant en place les règles qu'il a déployées contre la survenue initiale de cette attaque. Au besoin, Shield Advanced augmente la période pendant laquelle il maintient les règles en place. Shield Advanced peut ainsi atténuer les attaques répétées avec une signature spécifique avant qu'elles n'affectent vos ressources protégées.

Shield Advanced ne supprime jamais la règle basée sur le débitShieldKnownOffenderIPRateBasedRule, qui limite le volume de demandes provenant d'adresses IP connues pour être à l'origine d'attaques DDoS.

Que se passe-t-il lorsque vous désactivez l'atténuation automatique

Shield Advanced effectue les opérations suivantes lorsque vous désactivez l'atténuation automatique pour une ressource :

Arrête de répondre automatiquement aux attaques DDoS : Shield Advanced arrête ses activités de réponse automatique pour la ressource.
Supprime les règles inutiles du groupe de règles Shield Advanced : si Shield Advanced gère des règles dans son groupe de règles géré pour le compte de la ressource protégée, il les supprime.
Supprime le groupe de règles Shield Advanced s'il n'est plus utilisé : si l'ACL Web que vous avez associée à la ressource n'est associée à aucune autre ressource pour laquelle l'atténuation automatique est activée, Shield Advanced supprime sa règle de groupe de règles de l'ACL Web.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Configuration requise

Le groupe de règles Shield Advanced