Comportamento de limitação da taxa de solicitação de regras com base em taxas

Os critérios AWS WAF usados para limitar a taxa de solicitações de uma regra baseada em taxas são os mesmos AWS WAF usados para agregar solicitações para a regra. Se você definir uma instrução de escopo para a regra, AWS WAF somente agregará, contará e limitará as solicitações que correspondam à instrução de escopo reduzido.

Os critérios de correspondência que fazem com que uma regra baseada em intervalos aplique suas configurações de ação de regra a uma solicitação da web específica são os seguintes:

• A solicitação da web corresponde à instrução de redução de escopo da regra, se uma estiver definida.

• A solicitação da web pertence a uma instância de agregação cuja contagem de solicitações está atualmente acima do limite da regra.

Como AWS WAF se aplica a ação da regra

Quando uma regra baseada em taxa aplica limitação de taxa a uma solicitação, ela aplica a ação da regra e, se você tiver definido algum tratamento ou rótulo personalizado em sua especificação de ação, a regra os aplica. Esse tratamento de solicitações é o mesmo que a forma como uma regra de correspondência aplica suas configurações de ação às solicitações da web correspondentes. Uma regra baseada em intervalos só aplica rótulos ou executa outras ações em solicitações que estejam ativamente limitando o intervalo.

Você pode usar qualquer ação de regra, exceto Allow. Para obter informações gerais sobre as ações de regra, consulte Ação da regra.

A lista a seguir descreve como a limitação de taxa funciona para cada uma das ações.

• Block— AWS WAF bloqueia a solicitação e aplica qualquer comportamento de bloqueio personalizado que você tenha definido.

• Count— AWS WAF conta a solicitação, aplica todos os cabeçalhos ou rótulos personalizados que você definiu e continua a avaliação da web ACL da solicitação.

  Essa ação não limita a taxa de solicitações. Ele apenas conta as solicitações que estão acima do limite.

• CAPTCHA ou Challenge:O AWS WAF trata a solicitação como Block ou como Count, dependendo do estado do token da solicitação.

  Essa ação não limita a taxa de solicitações que têm tokens válidos. Isso limita a taxa de solicitações que estão acima do limite e também não têm tokens válidos.

  • Se a solicitação não tiver um token válido e não expirado, a ação bloqueia a solicitação e envia o quebra-cabeça CAPTCHA ou o desafio do navegador de volta ao cliente.

    Se o usuário final ou o navegador do cliente responder com êxito, o cliente receberá um token válido e reenviará automaticamente a solicitação original. Se a limitação de intervalo para a instância de agregação ainda estiver em vigor, essa nova solicitação com o token válido e não expirado terá a ação aplicada a ela conforme descrito no próximo marcador.

  • Se a solicitação tiver um token válido e não expirado, a ação CAPTCHA ou Challenge verificará o token e não executará nenhuma ação sobre a solicitação, semelhante à ação Count. A regra baseada em taxa retorna a avaliação da solicitação de volta à ACL da web sem realizar nenhuma ação de encerramento, e a ACL da web continua avaliando a solicitação.

  Para obter informações adicionais, consulte CAPTCHAe Challenge em AWS WAF.

Se você limitar o intervalo apenas do endereço IP ou do endereço IP encaminhado

Quando você configura a regra para limitar a intervalo somente do endereço IP para o endereço IP encaminhado, a instância da regra pode limitar o intervalo de até 10.000 endereços IP. Se uma instância de regra identificar mais de 10.000 endereços IP até o limite de intervalo, ela limitará apenas os 10.000 remetentes mais altos.

Com essa configuração, você pode recuperar a lista de endereços IP que uma regra baseada em taxa limita atualmente. Se você estiver usando uma instrução scope-down, as solicitações com taxa limitada são somente aquelas na lista de IPs que correspondem à instrução scope-down. Para obter informações sobre como recuperar a lista de endereços IP, consulte Como listar endereços IP que estão sendo limitados por regras baseadas em intervalos.