Menanggapi peristiwa DDoS - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menanggapi peristiwa DDoS

AWSSecara otomatis mengurangi lapisan jaringan dan transportasi (layer 3 dan layer 4) Distributed Denial of Service (DDoS). Jika Anda menggunakan Shield Advanced untuk melindungi instans Amazon EC2 Anda, selama serangan Shield Advanced secara otomatis menerapkan ACL jaringan Amazon VPC Anda ke perbatasanAWSjaringan. Hal ini memungkinkan Shield Advanced memberikan perlindungan terhadap peristiwa DDoS yang lebih besar. Untuk informasi lebih lanjut tentang ACL jaringan, lihatACL Jaringan.

Untuk lapisan aplikasi (layer 7) serangan DDoS,AWSmencoba untuk mendeteksi dan memberi tahuAWS Shield Advancedpelanggan melalui CloudWatch alarm. Secara default, itu tidak secara otomatis menerapkan mitigations, untuk menghindari secara tidak sengaja memblokir lalu lintas pengguna yang valid.

Untuk sumber daya layer aplikasi (layer 7), Anda memiliki opsi berikut yang tersedia untuk menanggapi serangan.

Selain itu, sebelum serangan terjadi, Anda dapat secara proaktif mengaktifkan opsi mitigasi berikut:

  • Mitigasi otomatis di Amazon CloudFront distribusi— Dengan opsi ini, Shield Advanced mendefinisikan dan mengelola mengurangi aturan untuk Anda di ACL web Anda. Untuk informasi tentang mitigasi lapisan aplikasi otomatis, lihatShield Lanjutan otomatis lapisan aplikasi DDoS mitigasi.

  • Keterlibatan proaktif— SaatAWS Shield Advancedmendeteksi serangan lapisan aplikasi besar terhadap salah satu aplikasi Anda, SRT dapat secara proaktif menghubungi Anda. SRT triages acara DDoS dan menciptakanAWS WAFmitigasi. SRT menghubungi Anda dan, dengan persetujuan Anda, dapat menerapkanAWS WAFaturan. Untuk informasi selengkapnya tentang opsi ini, lihat Mengkonfigurasi keterlibatan proaktif.

Menghubungi pusat dukungan selama serangan DDoS lapisan aplikasi

Jika AndaAWS Shield Advancedpelanggan, Anda dapat menghubungiAWS SupportPusatuntuk mendapatkan bantuan dengan mitigations. Kasus kritis dan mendesak diarahkan langsung ke ahli DDoS. DenganAWS Shield Advanced, kasus kompleks dapat meningkat keAWSShield Response Team (SRT), yang memiliki pengalaman mendalam dalam melindungiAWS, Amazon.com, dan anak perusahaannya. Untuk informasi lebih lanjut tentang SRT, lihatDukungan Shield Response Team (SRT).

Untuk mendapatkan dukungan Shield Response Team (SRT), hubungiAWS SupportPusat. Waktu respons untuk kasus Anda tergantung pada tingkat keparahan yang Anda pilih dan waktu respons, yang didokumentasikan padaAWS SupportPakethalaman.

Pilih opsi berikut:

  • Jenis kasus: Support Teknis

  • Layanan: Penolakan Layanan Terdistribusi (DDoS)

  • Kategori: Inbound keAWS

  • Tingkat kepelikan: Pilih opsi yang tepat

Ketika berdiskusi dengan perwakilan kami, jelaskan bahwa Anda seorangAWS Shield Advancedpelanggan mengalami kemungkinan serangan DDoS. Perwakilan kami akan mengarahkan panggilan Anda kepada para ahli DDoS yang sesuai. Jika Anda membuka kasus denganAWS SupportPusatmenggunakanPenolakan Layanan Terdistribusi (DDoS)jenis layanan, Anda dapat berbicara langsung dengan ahli DDoS melalui obrolan atau telepon. Teknisi dukungan DDoS dapat membantu Anda mengidentifikasi serangan, merekomendasikan perbaikan pada AndaAWSarsitektur, dan memberikan bimbingan dalam penggunaanAWSlayanan untuk mitigasi serangan DDoS.

Untuk serangan lapisan aplikasi, SRT dapat membantu Anda menganalisis aktivitas yang mencurigakan. Jika Anda mengaktifkan mitigasi otomatis untuk sumber daya Anda, SRT dapat meninjau mitigasi yang secara otomatis ditempatkan Shield Advanced terhadap serangan tersebut. Bagaimanapun, SRT dapat membantu Anda meninjau dan mengurangi masalah ini. Mitigasi yang direkomendasikan SRT sering membutuhkan SRT untuk membuat atau memperbaruiAWS WAFdaftar kontrol akses web (web ACL) di akun Anda. SRT akan membutuhkan izin Anda untuk melakukan pekerjaan ini.

penting

Kami merekomendasikan bahwa sebagai bagian dari memungkinkanAWS Shield Advanced, Anda mengikuti langkah-langkah diMengkonfigurasi akses untuk Shield Response Team (SRT)untuk secara proaktif memberikan SRT dengan izin yang mereka butuhkan untuk membantu Anda selama serangan. Memberikan izin sebelumnya membantu mencegah penundaan jika terjadi serangan yang sebenarnya.

SRT membantu Anda melakukan triase serangan DDoS untuk mengidentifikasi tanda tangan dan pola serangan. Dengan persetujuan Anda, SRT membuat dan menyebarkanAWS WAFaturan untuk mengurangi serangan.

Anda juga dapat menghubungi SRT sebelum atau selama kemungkinan serangan untuk meninjau mitigasi dan mengembangkan dan menyebarkan mitigasi khusus. Misalnya, jika Anda menjalankan aplikasi web dan hanya perlu port 80 dan 443 terbuka, Anda dapat bekerja dengan SRT untuk mengkonfigurasi web ACL untuk “mengizinkan” hanya port 80 dan 443.

Anda mengotorisasi dan menghubungi SRT di tingkat akun. Artinya, jika Anda menggunakan Shield Advanced dalam kebijakan Firewall Manager Shield Advanced, pemilik akun, bukan administrator Firewall Manager, harus menghubungi SRT untuk mendapatkan dukungan. Administrator Firewall Manager dapat menghubungi SRT hanya untuk akun yang mereka miliki.

Secara manual mengurangi serangan DDoS lapisan aplikasi

Jika Anda menentukan bahwa aktivitas di halaman peristiwa untuk sumber daya Anda mewakili serangan DDoS, Anda dapat membuat sendiriAWS WAFaturan di web Anda ACL untuk mengurangi serangan. Ini adalah satu-satunya pilihan yang tersedia jika Anda bukan pelanggan Shield Advanced.AWS WAFdisertakan denganAWS Shield Advancedtanpa biaya tambahan. Untuk informasi tentang membuat aturan di ACL web Anda, lihatDaftar kontrol akses web (web ACL).

Jika Anda menggunakanAWS Firewall Manager, Anda dapat menambahkanAWS WAFaturan ke Firewall ManagerAWS WAFkebijakan.

Untuk secara manual mengurangi serangan DDoS lapisan aplikasi potensial

  1. Buat pernyataan aturan di ACL web Anda dengan kriteria yang sesuai dengan perilaku yang tidak biasa. Untuk mulai dengan, konfigurasikan mereka untuk menghitung permintaan yang cocok. Untuk informasi tentang mengonfigurasi ACL web dan pernyataan aturan, lihatAturan ACL web dan evaluasi kelompok aturandanMenguji dan menyetelAWS WAFperlindungan.

    catatan

    Selalu uji aturan Anda terlebih dahulu dengan menggunakan tindakan aturanCountbukanBlock. Setelah merasa nyaman bahwa aturan baru Anda mengidentifikasi permintaan yang benar, Anda dapat memodifikasinya untuk memblokir permintaan.

  2. Pantau jumlah permintaan untuk menentukan apakah Anda ingin memblokir permintaan yang cocok. Jika volume permintaan terus sangat tinggi dan Anda yakin bahwa aturan Anda menangkap permintaan yang menyebabkan volume tinggi, ubah aturan di ACL web Anda untuk memblokir permintaan.

  3. Lanjutkan pemantauan halaman acara untuk memastikan bahwa lalu lintas Anda ditangani seperti yang Anda inginkan.

AWSmenyediakan template yang telah dikonfigurasi untuk membantu Anda memulai dengan cepat. Templat mencakup satu setAWS WAFaturan yang dapat Anda sesuaikan dan gunakan untuk memblokir serangan berbasis web umum. Untuk informasi selengkapnya, lihatAWS WAFOtomatisasi keamanan.