本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Shield Advanced 如何管理自動緩解
本節中的主題描述 Shield Advanced 如何處理自動應用程式層DDoS緩解的組態變更,以及啟用自動緩解時如何處理DDoS攻擊。
主題
Shield Advanced 如何回應具有自動緩解功能的DDoS攻擊
當您在受保護的資源上啟用自動緩解時,Shield Advanced 規則群組ShieldKnownOffenderIPRateBasedRule
中的速率型規則會自動回應來自已知DDoS來源的流量增加。此速率限制會快速套用,並做為對抗攻擊的前線防禦。
當 Shield Advanced 偵測到攻擊時,它會執行下列動作:
-
嘗試識別攻擊簽章,以隔離攻擊流量與應用程式的一般流量。目標是產生高品質的DDoS緩解規則,這些規則在放置時只會影響攻擊流量,而不會影響應用程式的正常流量。
-
針對正在攻擊的資源以及與相同 Web 相關聯的任何其他資源,評估已識別的攻擊簽章與歷史流量模式ACL。Shield Advanced 會在部署任何規則以回應事件之前執行此操作。
根據評估結果,Shield Advanced 會執行下列其中一項操作:
-
如果 Shield Advanced 判斷攻擊簽章只會隔離涉及DDoS攻擊的流量,則會在 Web 中的 Shield Advanced 緩解規則群組中的 AWS WAF 規則中實作簽章ACL。Shield Advanced 會為這些規則提供您已為資源的自動緩解設定的動作設定 - 或 Count 或 Block.
-
否則,Shield Advanced 不會放置緩解措施。
-
在整個攻擊過程中,Shield Advanced 會傳送相同的通知,並提供與基本 Shield Advanced 應用程式層保護相同的事件資訊。您可以在 Shield Advanced 事件主控台中查看事件和DDoS攻擊的相關資訊,以及攻擊的任何 Shield Advanced 緩解措施的相關資訊。如需相關資訊,請參閱 使用 Shield Advanced 對DDoS事件的可見性。
如果您已將自動緩解設定為使用 Block 規則動作,而且您從 Shield Advanced 部署的緩解規則中遇到誤報,您可以將規則動作變更為 Count。 如需如何執行此操作的詳細資訊,請參閱 變更用於自動應用程式層DDoS緩解的動作。
Shield Advanced 如何管理規則動作設定
您可以將自動緩解的規則動作設定為 Block 或 Count.
當您變更受保護資源的自動緩解規則動作設定時,Shield Advanced 會更新資源的所有規則設定。它會更新 Shield Advanced 規則群組中資源目前採用的任何規則,並在建立新規則時使用新的動作設定。
對於使用相同 Web 的資源ACL,如果您指定不同的動作,Shield Advanced 會使用 Block 規則群組基於速率的規則 的動作設定ShieldKnownOffenderIPRateBasedRule
。Shield Advanced 會代表特定受保護資源建立和管理規則群組中的其他規則,並使用您為資源指定的動作設定。Web 中 Shield Advanced 規則群組中的所有規則ACL都會套用至所有相關聯資源的 Web 流量。
變更動作設定可能需要幾秒鐘的時間才能傳播。在此期間,您可能會在規則群組正在使用的某些位置看到舊設定,在其他位置則看到新設定。
您可以在主控台的事件頁面,以及透過應用程式層組態頁面,變更自動緩解組態的規則動作設定。如需有關事件頁面的資訊,請參閱 回應 中的DDoS事件 AWS。如需有關組態頁面的資訊,請參閱 設定應用程式層DDoS保護。
當攻擊消失時,Shield Advanced 如何管理緩解措施
當 Shield Advanced 確定不再需要為特定攻擊部署的緩解規則時,它會將其從 Shield Advanced 緩解規則群組中移除。
移除緩解規則不一定與攻擊結束時一致。Shield Advanced 會監控其在您的受保護資源上偵測到的攻擊模式。它可能會主動防禦具有特定簽章的攻擊,方法是保留其已部署的規則,以防止該攻擊的初始發生。視需要,Shield Advanced 會增加其保留規則的時間窗口。如此一來,Shield Advanced 可能會在影響受保護資源之前,使用特定簽章來緩解重複的攻擊。
Shield Advanced 永遠不會移除速率型規則 ShieldKnownOffenderIPRateBasedRule
,這會限制來自已知為DDoS攻擊來源之 IP 地址的請求量。
當您停用自動緩解時會發生什麼情況
當您停用資源的自動緩解時,Shield Advanced 會執行下列動作:
-
停止自動回應DDoS攻擊 – Shield Advanced 會停止其資源的自動回應活動。
-
從 Shield Advanced 規則群組中移除不需要的規則 – 如果 Shield Advanced 代表受保護的資源在其受管規則群組中維護任何規則,則會將其移除。
-
如果不再使用 Shield Advanced 規則群組,請將其移除 – 如果您與資源ACL相關聯的 Web 未與已啟用自動緩解的任何其他資源建立關聯,Shield Advanced 會從 Web 移除其規則群組規則ACL。