响应 DDoS 事件

AWS 自动缓解网络和传输层（第 3 层和第 4 层）分布式拒绝服务 (DDoS) 攻击。如果您使用 Shield Advanced 来保护您的 Amazon EC2 实例，则在攻击期间，Shield Advanced 会自动将您的 Amazon VPC 网络 ACL 部署到 AWS 网络边界。这使得 Shield Advanced 能够针对较大的 DDoS 事件提供保护。有关网络 ACL 的更多信息，请参阅网络 ACL。

对于应用层（第 7 层）DDoS 攻击， AWS 尝试检测并通过 CloudWatch 警报通知 AWS Shield Advanced 客户。默认情况下，它不会自动应用缓解措施，以避免无意中阻止有效的用户流量。

对于应用程序层（第 7 层）资源，您可以使用以下选项来响应攻击。

• 提供您自己的缓解措施：您可以自行调查和缓解攻击。有关信息，请参阅 手动缓解应用程序层 DDoS 攻击。

• 联系支持人员：如果您是 Shield Advanced 客户，可以联系 AWS Support 中心寻求缓解方面的帮助。重大和紧急案例将直接转给 DDoS 专家。有关信息，请参阅 在应用程序层 DDoS 攻击期间联系支持中心。

此外，在攻击发生之前，您可以主动启用以下缓解选项：

• 对亚马逊 CloudFront 分发进行自动缓解 — 使用此选项，Shield Advanced 可以在您的网络 ACL 中为您定义和管理缓解规则。有关应用程序层自动缓解的信息，请参阅 Shield Advanced 应用程序层 DDoS 自动缓解。

• 主动参与 — 当 AWS Shield Advanced 检测到针对您的一个应用程序的大型应用程序层攻击时，SRT 可以主动与您联系。SRT 会筛选 DDoS 事件并创建 AWS WAF 缓解操作。SRT 会与您联系，并且经您同意，可以适用 AWS WAF 规则。有关此选项的更多信息，请参阅 配置主动参与。

在应用程序层 DDoS 攻击期间联系支持中心

如果您是 AWS Shield Advanced 客户，可以联系AWS Support 中心寻求缓解方面的帮助。重大和紧急案例将直接转给 DDoS 专家。因此 AWS Shield Advanced，复杂的案例可以上报给在保护 AWS Amazon.com 及其子公司方面拥有丰富经验的 AWS Shield 响应小组 (SRT)。有关 SRT 的更多信息，请参阅 Shield 响应小组 (SRT) 支持。

要获得 Shield 响应小组 (SRT) 支持，请联系 AWS Support 中心。对您的案例的响应时间取决于您选择的严重性以及 AWS Support 计划页面中记录的响应时间。

选择以下选项：

• 案例类型：技术支持

• 服务：分布式拒绝服务 (DDoS)

• 类别：入境至 AWS

• 严重性： 选择适当的选项

在与我们的代表讨论时，请说明您是可能遭受 DDoS 攻击的 AWS Shield Advanced 客户。我们的代表会将您的电话转给适当的 DDoS 专家。如果您使用分布式拒绝服务攻击 (DDoS) 服务类型通过 AWS Support 中心 开立案例，则可以通过聊天或电话直接与 DDoS 专家交流。DDoS 支持工程师可以帮助您识别攻击、推荐 AWS 架构改进建议，并就如何使用缓解 DDoS 攻击的 AWS 服务提供指导。

对于应用程序层攻击，SRT 可以帮助您分析可疑活动。如果您为资源启用了自动缓解功能，SRT 可以审查 Shield Advanced 自动针对攻击采取的缓解措施。无论如何，SRT 可以帮助您审查和缓解问题。SRT 建议的缓解措施通常要求 SRT 在您的账户中创建或更新 AWS WAF 网络访问控制列表 (Web ACL)。要完成这项工作，SRT 需要首先获得您的许可。

重要

我们建议在启用过程中 AWS Shield Advanced，按照中的步骤主动配置 Shield 响应小组 (SRT) 的访问权限向 SRT 提供他们在攻击期间为您提供帮助所需的权限。提前提供授权有助于防止在实际发生攻击时耽误问题的解决。

SRT 可帮助您筛选 DDoS 攻击，以识别攻击签名和模式。经您同意，SRT 会创建并部署 AWS WAF 规则来缓解攻击。

您也可以在可能的攻击前或在攻击期间联系 SRT，以便审查缓解措施并开发和部署自定义缓解措施。例如，如果您正在运行一个 Web 应用程序且只需打开端口 80 和 443，您可以与 SRT 一起预先配置一个 Web ACL，只“允许”打开端口 80 和 443。

您在账户级别授权和联系 SRT。也就是说，如果您在 Firewall Manager Shield Advanced 策略中使用 Shield Advanced，则必须由账户所有者（而不是 Firewall Manager 管理员）联系 SRT 寻求支持。Firewall Manager 管理员只能为他们拥有的账户联系 SRT。

手动缓解应用程序层 DDoS 攻击

如果您确定资源的事件页面中的活动代表 DDoS 攻击，则可以在 Web ACL 中创建自己的 AWS WAF 规则来缓解攻击。如果您不是 Shield Advanced 客户，这是唯一可用的选项。 AWS WAF 包含 AWS Shield Advanced 在内，无需支付额外费用。有关在 Web ACL 中创建规则的更多信息，请参阅 Web 访问控制列表 (Web ACL)。

如果您使用 AWS Firewall Manager，则可以将您的 AWS WAF 规则添加到 Firewall Manager AWS WAF 策略中。

手动缓解潜在的应用程序层 DDoS 攻击

1. 在 Web ACL 中创建符合异常行为的标准的规则语句。首先，将它们配置为对匹配请求进行计数。有关配置 Web ACL 和规则语句的信息，请参阅 Web ACL 规则和规则组评估 和 测试和调整您的 AWS WAF 保护措施。

   注意

   请务必先使用规则操作 Count 而不是 Block 来测试您的规则。在您认为新规则能确定正确的请求后，便可以修改规则以阻止这些请求。

2. 监控请求计数以确定是否要阻止匹配的请求。如果请求量仍然异常高，并且您确信自己的规则正在捕获导致大量流量的请求，请更改 Web ACL 中的规则以阻止这些请求。

3. 继续监控事件页面，确保您的流量按您期望的方式进行处理。

AWS 提供了预配置的模板以帮助您快速入门。这些模板包含一组 AWS WAF 规则，您可以自定义这些规则并使用这些规则来阻止常见的基于 Web 的攻击。有关更多信息，请参阅 AWS WAF 安全自动化。