Menanggapi peristiwa DDoS

AWS secara otomatis mengurangi serangan jaringan dan transport layer (layer 3 dan layer 4) Distributed Denial of Service (DDoS). Jika Anda menggunakan Shield Advanced untuk melindungi instans Amazon EC2, selama serangan Shield Advanced secara otomatis menyebarkan ACL jaringan VPC Amazon Anda ke perbatasan jaringan. AWS Hal ini memungkinkan Shield Advanced untuk memberikan perlindungan terhadap peristiwa DDoS yang lebih besar. Untuk informasi selengkapnya tentang ACL jaringan, lihat ACL jaringan.

Untuk lapisan aplikasi (lapisan 7) serangan DDoS, AWS upaya untuk mendeteksi dan memberi tahu AWS Shield Advanced pelanggan melalui CloudWatch alarm. Secara default, itu tidak secara otomatis menerapkan mitigasi, untuk menghindari pemblokiran lalu lintas pengguna yang valid secara tidak sengaja.

Untuk sumber daya lapisan aplikasi (lapisan 7), Anda memiliki opsi berikut yang tersedia untuk merespons serangan.

• Berikan mitigasi Anda sendiri — Anda dapat menyelidiki dan mengurangi serangan Anda sendiri. Untuk informasi, lihat Memitigasi serangan DDoS lapisan aplikasi secara manual.

• Hubungi dukungan — Jika Anda adalah pelanggan Shield Advanced, Anda dapat menghubungi AWS Support Pusat untuk mendapatkan bantuan terkait mitigasi. Kasus kritis dan mendesak diarahkan langsung ke ahli DDoS. Untuk informasi, lihat Menghubungi pusat dukungan selama serangan DDoS lapisan aplikasi.

Selain itu, sebelum serangan terjadi, Anda dapat secara proaktif mengaktifkan opsi mitigasi berikut:

• Mitigasi otomatis pada CloudFront distribusi Amazon — Dengan opsi ini, Shield Advanced mendefinisikan dan mengelola aturan mitigasi untuk Anda di ACL web Anda. Untuk informasi tentang mitigasi lapisan aplikasi otomatis, lihat. Mitigasi DDoS lapisan aplikasi otomatis Shield Advanced

• Keterlibatan proaktif — Ketika AWS Shield Advanced mendeteksi serangan lapisan aplikasi besar terhadap salah satu aplikasi Anda, SRT dapat secara proaktif menghubungi Anda. SRT melakukan triase acara DDoS dan menciptakan mitigasi. AWS WAF SRT menghubungi Anda dan, dengan persetujuan Anda, dapat menerapkan AWS WAF aturan. Untuk informasi selengkapnya tentang metrik ini, lihat Mengkonfigurasi keterlibatan proaktif.

Menghubungi pusat dukungan selama serangan DDoS lapisan aplikasi

Jika Anda seorang AWS Shield Advanced pelanggan, Anda dapat menghubungi AWS Support Pusat untuk mendapatkan bantuan terkait mitigasi. Kasus kritis dan mendesak diarahkan langsung ke ahli DDoS. Dengan AWS Shield Advanced, kasus kompleks dapat ditingkatkan ke AWS Shield Response Team (SRT), yang memiliki pengalaman mendalam dalam melindungi, Amazon.com AWS, dan anak perusahaannya. Untuk informasi lebih lanjut tentang SRT, lihatDukungan Shield Response Team (SRT).

Untuk mendapatkan dukungan Shield Response Team (SRT), hubungi AWS Support Pusat. Waktu respons untuk kasus Anda bergantung pada tingkat keparahan yang Anda pilih dan waktu respons, yang didokumentasikan pada halaman AWS Support Paket.

Pilih opsi berikut:

• Jenis kasus: Technical Support

• Layanan: Distributed Denial of Service (DDoS)

• Kategori: Inbound ke AWS

• Keparahan: Pilih opsi yang sesuai

Saat berdiskusi dengan perwakilan kami, jelaskan bahwa Anda adalah AWS Shield Advanced pelanggan yang mengalami kemungkinan serangan DDoS. Perwakilan kami akan mengarahkan panggilan Anda ke ahli DDoS yang sesuai. Jika Anda membuka kasus dengan AWS Support Center menggunakan jenis layanan Distributed Denial of Service (DDoS), Anda dapat berbicara langsung dengan pakar DDoS melalui obrolan atau telepon. Insinyur dukungan DDoS dapat membantu Anda mengidentifikasi serangan, merekomendasikan perbaikan AWS arsitektur Anda, dan memberikan panduan dalam penggunaan AWS layanan untuk mitigasi serangan DDoS.

Untuk serangan lapisan aplikasi, SRT dapat membantu Anda menganalisis aktivitas yang mencurigakan. Jika Anda mengaktifkan mitigasi otomatis untuk sumber daya Anda, SRT dapat meninjau mitigasi yang secara otomatis ditempatkan Shield Advanced terhadap serangan tersebut. Bagaimanapun, SRT dapat membantu Anda meninjau dan mengurangi masalah. Mitigasi yang direkomendasikan SRT sering memerlukan SRT untuk membuat atau memperbarui daftar kontrol akses AWS WAF web (ACL web) di akun Anda. SRT akan membutuhkan izin Anda untuk melakukan pekerjaan ini.

penting

Kami menyarankan bahwa sebagai bagian dari mengaktifkan AWS Shield Advanced, Anda mengikuti langkah-langkah Mengkonfigurasi akses untuk Shield Response Team (SRT) untuk secara proaktif memberikan SRT dengan izin yang mereka butuhkan untuk membantu Anda selama serangan. Memberikan izin sebelumnya membantu mencegah penundaan jika terjadi serangan yang sebenarnya.

SRT membantu Anda melakukan triase serangan DDoS untuk mengidentifikasi tanda tangan dan pola serangan. Dengan persetujuan Anda, SRT membuat dan menyebarkan AWS WAF aturan untuk mengurangi serangan.

Anda juga dapat menghubungi SRT sebelum atau selama kemungkinan serangan untuk meninjau mitigasi dan mengembangkan dan menerapkan mitigasi khusus. Misalnya, jika Anda menjalankan aplikasi web dan hanya membutuhkan port 80 dan 443 terbuka, Anda dapat bekerja dengan SRT untuk mengkonfigurasi ACL web untuk “mengizinkan” hanya port 80 dan 443.

Anda mengotorisasi dan menghubungi SRT di tingkat akun. Artinya, jika Anda menggunakan Shield Advanced dalam kebijakan Firewall Manager Shield Advanced, pemilik akun, bukan administrator Firewall Manager, harus menghubungi SRT untuk mendapatkan dukungan. Administrator Firewall Manager dapat menghubungi SRT hanya untuk akun yang mereka miliki.

Memitigasi serangan DDoS lapisan aplikasi secara manual

Jika Anda menentukan bahwa aktivitas di halaman peristiwa untuk sumber daya Anda mewakili serangan DDoS, Anda dapat membuat AWS WAF aturan sendiri di ACL web Anda untuk mengurangi serangan. Ini adalah satu-satunya pilihan yang tersedia jika Anda bukan pelanggan Shield Advanced. AWS WAF sudah termasuk tanpa AWS Shield Advanced biaya tambahan. Untuk informasi tentang membuat aturan di ACL web Anda, lihatDaftar kontrol akses web (ACL web).

Jika Anda menggunakan AWS Firewall Manager, Anda dapat menambahkan AWS WAF aturan Anda ke AWS WAF kebijakan Firewall Manager.

Untuk secara manual mengurangi potensi serangan lapisan aplikasi DDoS

1. Buat pernyataan aturan di ACL web Anda dengan kriteria yang cocok dengan perilaku yang tidak biasa. Untuk memulainya, konfigurasikan mereka untuk menghitung permintaan yang cocok. Untuk informasi tentang mengonfigurasi ACL web dan pernyataan aturan, lihat Evaluasi aturan dan kelompok aturan ACL Web dan. Menguji dan menyetel perlindungan Anda AWS WAF

   catatan

   Selalu uji aturan Anda terlebih dahulu dengan awalnya menggunakan tindakan aturan Count alih-alihBlock. Setelah Anda merasa nyaman bahwa aturan baru Anda mengidentifikasi permintaan yang benar, Anda dapat memodifikasinya untuk memblokir permintaan.

2. Pantau jumlah permintaan untuk menentukan apakah Anda ingin memblokir permintaan yang cocok. Jika volume permintaan terus sangat tinggi dan Anda yakin bahwa aturan Anda menangkap permintaan yang menyebabkan volume tinggi, ubah aturan di ACL web Anda untuk memblokir permintaan.

3. Lanjutkan memantau halaman acara untuk memastikan bahwa lalu lintas Anda ditangani seperti yang Anda inginkan.

AWS menyediakan template yang telah dikonfigurasi untuk membantu Anda memulai dengan cepat. Template mencakup seperangkat AWS WAF aturan yang dapat Anda sesuaikan dan gunakan untuk memblokir serangan berbasis web yang umum. Untuk informasi selengkapnya, lihat Otomasi AWS WAF Keamanan.