Shield Advanced 如何管理自动缓解 - AWS WAFAWS Firewall Manager、和 AWS Shield Advanced
当您启用自动缓解时在 DDoS 攻击期间Shield Advanced 如何管理操作设置当攻击消退时当禁用自动缓解时

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Shield Advanced 如何管理自动缓解

本节中的主题介绍了 Shield Advanced 如何处理应用程序层 DDoS 自动缓解的配置更改,以及启用自动缓解后如何处理 DDoS 攻击。

在启用自动缓解时发生的情况

启用自动缓解后,Shield Advanced 会执行以下操作:

  • 根据需要添加规则组以供 Shield Advanced 使用 — 如果您与资源关联的 AWS WAF Web ACL 还没有专门用于自动缓解应用层 DDoS 的 AWS WAF 规则组规则,Shield Advanced 会添加一条规则组规则。

    规则组规则的名称以 ShieldMitigationRuleGroup 开头。该规则组始终包含一个名为 ShieldKnownOffenderIPRateBasedRule 的基于速率的规则,用于限制来自已知为 DDoS 攻击来源的 IP 地址的请求量。有关 Shield Advanced 规则组和引用它的 Web ACL 规则的其他详细信息,请参阅 Shield Advanced 规则组

  • 开始响应针对资源的 DDoS 攻击:Shield Advanced 会自动响应受保护资源的 DDoS 攻击。除了始终存在的基于速率的规则外,Shield Advanced 还使用其规则组来部署缓解 DDoS 攻击的自定义 AWS WAF 规则。Shield Advanced 会根据您的应用程序和应用程序遇到的攻击量身定制这些规则,并在部署之前根据该资源的历史流量对其进行测试。

Shield Advanced 在您用于自动缓解的任何 Web ACL 中使用单个规则组规则。如果 Shield Advanced 已经为另一个受保护资源添加了规则组,则不会向 Web ACL 添加另一个规则组。

应用程序层 DDoS 的自动缓解取决于是否存在用于缓解攻击的规则组。如果出于任何原因将规则组从 AWS WAF Web ACL 中删除,则删除规则组将禁用与该 Web ACL 关联的所有资源的自动缓解措施。

Shield Advanced 如何通过自动缓解来响应 DDoS 攻击

当您在受保护的资源上启用了自动缓解时,Shield Advanced 规则组中基于速率的规则 ShieldKnownOffenderIPRateBasedRule 会自动响应来自已知 DDoS 来源的提升流量。此速率限制可以快速应用,能起到抵御攻击的前线防御作用。

当 Shield Advanced 检测到攻击时,它会执行下列操作:

  1. 尝试识别攻击签名,该特征码将攻击流量与发送到您的应用程序的正常流量隔离开来。目标是制定高质量的 DDoS 缓解规则,这些规则放置后仅影响攻击流量,不会影响应用程序的正常流量。

  2. 根据受到攻击的资源以及与相同 Web ACL 关联的任何其他资源的历史流量模式,评估已识别的攻击特征。Shield Advanced 会在部署任何规则以响应事件之前执行此操作。

    根据评估结果,Shield Advanced 执行以下操作之一:

    • 如果 Shield Advanced 确定攻击签名仅隔离 DDoS 攻击所涉及的流量,则它将在 Web ACL 的 Shield Advanced 缓解规则组中的 AWS WAF 规则中实施签名。Shield Advanced 为这些规则提供了您为资源自动缓解配置的操作设置,可以是 Count 或 Block。

    • 否则,Shield Advanced 不会提供缓解措施。

在整个攻击过程中,Shield Advanced 会发送与基本 Shield Advanced 应用程序层保护相同的通知并提供相同的事件信息。您可以在 Shield Advanced 事件控制台中查看有关事件和 DDoS 攻击的信息,以及任何针对攻击的 Shield Advanced 缓解措施的信息。有关信息,请参阅 对 DDoS 事件的可见性

如果您已将自动缓解配置为使用 Block 规则操作,并且 Shield Advanced 部署的缓解规则发生误报,则可以将规则操作更改为 Count。有关如何执行此操作的信息,请参阅 更改用于应用程序层 DDoS 自动缓解的操作

Shield Advanced 如何管理规则操作设置

您可以将自动缓解的规则操作设置为 Block 或 Count。

当您更改受保护资源的自动缓解规则操作设置时,Shield Advanced 会更新该资源的所有规则设置。它会更新 Shield Advanced 规则组中资源当前存在的任何规则,并在创建新规则时使用新的操作设置。

对于使用相同 Web ACL 的资源,如果指定不同的操作,Shield Advanced 将使用规则组基于速率的规则 ShieldKnownOffenderIPRateBasedRule 的 Block 操作设置。Shield Advanced 代表特定的受保护资源创建和管理规则组中的其他规则,并使用您为该资源指定的操作设置。Web ACL 中的 Shield Advanced 规则组中的所有规则都应用于所有相关资源的 Web 流量。

更改操作设置可能需要几秒钟进行传播。在此期间,某些使用规则组的位置会显示旧设置,而另一些会显示新设置。

您可以在控制台的事件页面和应用程序层配置页面更改自动缓解配置的规则操作设置。有关事件的更多信息,请参阅 响应 DDoS 事件。有关配置文件的更多信息,请参阅配置应用程序层 DDoS 保护

攻击消退后 Shield Advanced 如何管理缓解措施

当 Shield Advanced 确定不再需要为特定攻击部署的缓解规则时,它会将其从 Shield Advanced 缓解规则组中删除。

攻击结束并不意味着取消缓解规则。Shield Advanced 会监控它在您的受保护资源上检测到的攻击模式。它可以保持针对首次发生攻击时部署的规则,以主动防御带有特定特征的攻击再次发生。根据需要,Shield Advanced 会延长遵守规则的时间窗口。这样,Shield Advanced 就可以在使用特定特征码的重复攻击影响您的受保护资源之前缓解这些攻击。

Shield Advanced 永远不会删除基于速率的规则 ShieldKnownOffenderIPRateBasedRule,该规则限制来自已知为 DDoS 攻击来源的 IP 地址的请求量。

在禁用自动缓解时发生的情况

当您为资源禁用自动缓解时,Shield Advanced 会执行以下操作:

  • 停止自动响应 DDoS 攻击:Shield Advanced 停止对该资源的自动响应活动。

  • 从 Shield Advanced 规则组中移除不需要的规则:如果 Shield Advanced 代表受保护资源维护其托管规则组中的任何规则,则会将其删除。

  • 如果已不再使用 Shield Advanced 规则组,则将其删除:如果您与该资源关联的 Web ACL 未与任何其他启用了自动缓解的资源相关联,Shield Advanced 将从 Web ACL 中删除其规则组规则。