本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 Shield Advanced 中檢視應用程式層 (第 7 層) 事件詳細資訊
您可以在 主控台頁面底部區段中,查看應用程式層事件偵測、緩解和最大貢獻者的詳細資訊。本節可能包含合法和可能不需要的流量組合,並可能代表傳遞給您受保護資源的流量,以及 Shield Advanced 緩解措施封鎖的流量。
緩解詳細資訊適用於 Web 中與資源ACL相關聯的任何規則,包括專門為回應 Web 中定義的攻擊和速率型規則而部署的規則ACL。如果您為應用程式啟用自動應用程式層DDoS緩解,緩解指標會包含這些額外規則的指標。如需這些應用程式層保護的相關資訊,請參閱 使用 AWS Shield Advanced 和 保護應用程式層 (第 7 層) AWS WAF。
偵測和緩解
對於應用程式層 (第 7 層) 事件,偵測和緩解索引標籤會顯示以從 AWS WAF 日誌取得的資訊為基礎的偵測指標。緩解指標是根據相關聯 Web 中的規則ACL,這些 AWS WAF 規則設定為封鎖不需要的流量。
對於 Amazon CloudFront 分佈,您可以設定 Shield Advanced 來套用自動緩解。在任何應用程式層資源中,您可以選擇在 Web 中定義自己的緩解規則,ACL並請求 Shield Response Team () 的協助SRT。如需這些選項的資訊,請參閱 回應 中的DDoS事件 AWS。
下列螢幕擷取畫面顯示應用程式層事件的偵測指標範例,這些指標會在數小時後消失。
緩解規則生效之前所隱藏的事件流量不會在緩解指標中表示。這可能會導致偵測圖表中顯示的 Web 請求流量與緩解圖表中顯示的允許和封鎖指標之間的差異。
最大貢獻者
應用程式層事件的前 5 個貢獻者索引標籤會根據 Shield 擷取的 AWS WAF 日誌,顯示 Shield 為事件識別的前 5 個貢獻者。Shield 會依來源 IP、來源國家/地區和目的地 等維度分類主要貢獻者資訊URL。
注意
如需導致應用程式層事件之流量的最準確資訊,請使用 AWS WAF 日誌。
使用 Shield 應用程式層主要貢獻者資訊,僅是為了取得攻擊性質的一般概念,並且不會根據其做出安全決策。對於應用程式層事件, AWS WAF 日誌是了解攻擊貢獻者和制定緩解策略的最佳資訊來源。
Shield 最大貢獻者資訊不一定完全反映 AWS WAF 日誌中的資料。擷取日誌時,Shield 會優先減少對系統效能的影響,而不是從日誌中擷取完整的資料集。這可能會導致 Shield 可用於分析的資料精細度損失。在大多數情況下,大多數資訊都是可用的,但主要貢獻者資料可能會偏移到某種程度,以進行任何攻擊。
下列螢幕擷取畫面顯示應用程式層事件的 Top contributors 索引標籤範例。
貢獻者資訊是根據對合法和潛在不需要流量的請求。較大的磁碟區事件,以及請求來源未高度分佈的事件,更有可能具有可識別的主要貢獻者。顯著分佈的攻擊可能具有任意數量的來源,因此很難識別攻擊的主要原因。如果 Shield Advanced 無法識別特定類別的重要貢獻者,則會將資料顯示為無法使用。