Bagaimana Shield Advanced mengelola mitigasi otomatis

Topik di bagian menjelaskan bagaimana Shield Advanced menangani perubahan konfigurasi Anda untuk mitigasi DDoS lapisan aplikasi otomatis dan cara menangani serangan DDoS saat mitigasi otomatis diaktifkan.

Apa yang terjadi ketika Anda mengaktifkan mitigasi otomatis

Shield Advanced melakukan hal berikut ketika Anda mengaktifkan mitigasi otomatis:

• Jika diperlukan, tambahkan grup aturan untuk penggunaan Shield Advanced — Jika ACL AWS WAF web yang Anda kaitkan dengan sumber daya belum memiliki AWS WAF aturan grup aturan yang didedikasikan untuk mitigasi DDoS lapisan aplikasi otomatis, Shield Advanced menambahkannya.

  Nama aturan grup aturan dimulai denganShieldMitigationRuleGroup. Grup aturan selalu berisi aturan berbasis tingkat bernamaShieldKnownOffenderIPRateBasedRule, yang membatasi volume permintaan dari alamat IP yang dikenal sebagai sumber serangan DDoS. Untuk detail tambahan tentang grup aturan Shield Advanced dan aturan ACL web yang mereferensikannya, lihatGrup aturan Shield Advanced.

• Mulai merespons serangan DDoS terhadap sumber daya — Shield Advanced secara otomatis merespons serangan DDoS untuk sumber daya yang dilindungi. Selain aturan berbasis tarif, yang selalu ada, Shield Advanced menggunakan grup aturannya untuk menerapkan AWS WAF aturan khusus untuk mitigasi serangan DDoS. Shield Advanced menyesuaikan aturan ini dengan aplikasi Anda dan serangan yang dialami aplikasi Anda, dan mengujinya terhadap lalu lintas historis sumber daya sebelum menerapkannya.

Shield Advanced menggunakan aturan grup aturan tunggal di ACL web apa pun yang Anda gunakan untuk mitigasi otomatis. Jika Shield Advanced telah menambahkan grup aturan untuk sumber daya lain yang dilindungi, itu tidak menambahkan grup aturan lain ke ACL web.

Mitigasi DDoS lapisan aplikasi otomatis tergantung pada keberadaan kelompok aturan untuk mengurangi serangan. Jika grup aturan dihapus dari ACL AWS WAF web karena alasan apa pun, penghapusan menonaktifkan mitigasi otomatis untuk semua sumber daya yang terkait dengan ACL web.

Bagaimana Shield Advanced merespons serangan DDoS dengan mitigasi otomatis

Bila Anda mengaktifkan mitigasi otomatis pada sumber daya yang dilindungi, aturan berbasis laju di ShieldKnownOffenderIPRateBasedRule grup aturan Shield Advanced merespons secara otomatis volume lalu lintas yang meningkat dari sumber DDoS yang diketahui. Pembatasan kecepatan ini diterapkan dengan cepat dan bertindak sebagai pertahanan garis depan terhadap serangan.

Ketika Shield Advanced mendeteksi serangan, ia melakukan hal berikut:

1. Mencoba mengidentifikasi tanda tangan serangan yang mengisolasi lalu lintas serangan dari lalu lintas normal ke aplikasi Anda. Tujuannya adalah untuk menghasilkan aturan mitigasi DDoS berkualitas tinggi yang, ketika ditempatkan, hanya memengaruhi lalu lintas serangan dan tidak memengaruhi lalu lintas normal ke aplikasi Anda.

2. Mengevaluasi tanda tangan serangan yang diidentifikasi terhadap pola lalu lintas historis untuk sumber daya yang diserang serta untuk sumber daya lain yang terkait dengan ACL web yang sama. Shield Advanced melakukan ini sebelum menerapkan aturan apa pun sebagai respons terhadap acara tersebut.

   Bergantung pada hasil evaluasi, Shield Advanced melakukan salah satu hal berikut:

   • Jika Shield Advanced menentukan bahwa tanda tangan serangan hanya mengisolasi lalu lintas yang terlibat dalam serangan DDoS, itu mengimplementasikan tanda tangan dalam AWS WAF aturan dalam grup aturan mitigasi Shield Advanced di ACL web. Shield Advanced memberikan aturan ini setelan tindakan yang telah Anda konfigurasikan untuk mitigasi otomatis sumber daya - salah satu atauCount. Block

   • Jika tidak, Shield Advanced tidak menempatkan mitigasi.

Selama serangan, Shield Advanced mengirimkan notifikasi yang sama dan memberikan informasi acara yang sama seperti untuk perlindungan lapisan aplikasi Shield Advanced dasar. Anda dapat melihat informasi tentang peristiwa dan serangan DDoS, dan tentang mitigasi Shield Advanced untuk serangan, di konsol acara Shield Advanced. Untuk informasi, lihat Visibilitas ke acara DDoS.

Jika Anda telah mengonfigurasi mitigasi otomatis untuk menggunakan tindakan Block aturan dan Anda mengalami kesalahan positif dari aturan mitigasi yang telah diterapkan Shield Advanced, Anda dapat mengubah tindakan aturan menjadi. Count Untuk informasi tentang cara ini, lihatMengubah tindakan yang digunakan untuk mitigasi DDoS lapisan aplikasi otomatis.

Bagaimana Shield Advanced mengelola pengaturan tindakan aturan

Anda dapat mengatur tindakan aturan untuk mitigasi otomatis Anda ke atau. Block Count

Saat Anda mengubah setelan tindakan aturan mitigasi otomatis untuk sumber daya yang dilindungi, Shield Advanced memperbarui semua setelan aturan untuk sumber daya. Ini memperbarui aturan apa pun yang saat ini ada untuk sumber daya di grup aturan Shield Advanced dan menggunakan setelan tindakan baru saat membuat aturan baru.

Untuk sumber daya yang menggunakan ACL web yang sama, jika Anda menentukan tindakan yang berbeda, Shield Advanced menggunakan setelan Block tindakan untuk aturan berbasis laju grup aturan. ShieldKnownOffenderIPRateBasedRule Shield Advanced membuat dan mengelola aturan lain dalam grup aturan atas nama sumber daya tertentu yang dilindungi, dan menggunakan setelan tindakan yang telah Anda tentukan untuk sumber daya tersebut. Semua aturan dalam grup aturan Shield Advanced di ACL web diterapkan pada lalu lintas web dari semua sumber daya terkait.

Mengubah pengaturan tindakan dapat memakan waktu beberapa detik untuk menyebar. Selama waktu ini, Anda mungkin melihat pengaturan lama di beberapa tempat di mana grup aturan sedang digunakan, dan pengaturan baru di tempat lain.

Anda dapat mengubah pengaturan tindakan aturan untuk konfigurasi mitigasi otomatis di halaman peristiwa konsol, dan melalui halaman konfigurasi lapisan aplikasi. Untuk informasi tentang halaman acara, lihatMenanggapi peristiwa DDoS. Untuk informasi tentang halaman konfigurasi, lihatKonfigurasikan perlindungan DDoS lapisan aplikasi.

Bagaimana Shield Advanced mengelola mitigasi saat serangan mereda

Ketika Shield Advanced menentukan bahwa aturan mitigasi yang digunakan untuk serangan tertentu tidak lagi diperlukan, itu akan menghapusnya dari grup aturan mitigasi Shield Advanced.

Penghapusan aturan mitigasi tidak selalu bertepatan dengan akhir serangan. Shield Advanced memantau pola serangan yang dideteksi pada sumber daya Anda yang dilindungi. Ini mungkin secara proaktif bertahan terhadap terulangnya serangan dengan tanda tangan tertentu dengan menjaga aturan yang telah dikerahkan terhadap kejadian awal serangan itu di tempat. Sesuai kebutuhan, Shield Advanced meningkatkan jendela waktu agar aturan tetap berlaku. Dengan cara ini, Shield Advanced dapat mengurangi serangan berulang dengan tanda tangan tertentu sebelum memengaruhi sumber daya Anda yang dilindungi.

Shield Advanced tidak pernah menghapus aturan berbasis kecepatanShieldKnownOffenderIPRateBasedRule, yang membatasi volume permintaan dari alamat IP yang dikenal sebagai sumber serangan DDoS.

Apa yang terjadi ketika Anda menonaktifkan mitigasi otomatis

Shield Advanced melakukan hal berikut saat Anda menonaktifkan mitigasi otomatis untuk sumber daya:

• Berhenti merespons serangan DDoS secara otomatis — Shield Advanced menghentikan aktivitas respons otomatisnya untuk sumber daya.

• Menghapus aturan yang tidak diperlukan dari grup aturan Shield Advanced — Jika Shield Advanced mempertahankan aturan apa pun dalam grup aturan terkelolanya atas nama sumber daya yang dilindungi, aturan tersebut akan menghapusnya.

• Menghapus grup aturan Shield Advanced, jika tidak lagi digunakan — Jika ACL web yang Anda kaitkan dengan sumber daya tidak terkait dengan sumber daya lain yang mengaktifkan mitigasi otomatis, Shield Advanced menghapus aturan grup aturannya dari ACL web.