回應 DDoS 事件 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

回應 DDoS 事件

AWS自動緩解網路和傳輸層 (第 3 層和第 4 層) 分散式拒絕服務 (DDoS) 攻擊。如果您使用防 Shield 進階來保護您的 Amazon EC2 執行個體,則進行攻擊防 Shield 進階時,會自動將您的 Amazon VPC 網路 ACL 部署到網路邊界。AWS這使得 Shield 牌進階能夠針對較大的 DDoS 事件提供保護。如需網路 ACL 的詳細資訊,請參閱 網路 ACL

對於應用程序層(第 7 層)DDoS 攻擊,AWS嘗試通過 CloudWatch 警報檢測並通知AWS Shield Advanced客戶。依預設,它不會自動套用緩和措施,以避免意外封鎖有效的使用者流量。

對於應用程式層 (第 7 層) 資源,您可以使用下列選項來回應攻擊。

此外,在攻擊發生之前,您可以主動啟用下列緩和措施選項:

  • Amazon CloudFront 分發上的自動緩解措施 — 使用此選項,Shield Advanced 在您的 Web ACL 中為您定義和管理緩解規則。如需自動應用程式層緩和措施的資訊,請參閱Shield 先進的自動應用層 DDoS 緩解

  • 主動參與 — 當AWS Shield Advanced偵測到針對其中一個應用程式的大型應用程式層攻擊時,SRT 可以主動與您聯絡。SRT 會對 DDoS 事件進行分類,並建立AWS WAF緩和措施。SRT 與您聯繫,並且在您同意的情況下,可以應用AWS WAF規則。如需有關此選項的詳細資訊,請參閱 設定主動參與

在應用程式層 DDoS 攻擊期間聯絡支援中心

如果您是AWS Shield Advanced客戶,可以聯絡AWS Support中心以取得有關緩解措施的協助。重大和緊急案例會直接路由發送給 DDoS 專家。通過AWS Shield Advanced,複雜的案例可以升級到 AWS Shield 牌響應團隊(SRT),該團隊在保護方面擁有豐富的經驗AWS,Amazon.com 及其子公司。如需 SRT 的詳細資訊,請參閱Shield 牌回應小組 (SRT) 支援

若要取得 Shield 牌回應小組 (SRT) 支援,請聯絡中AWS Support心。您的案例的回應時間取決於您選取的嚴重性和回應時間,這些時間會記錄在 [AWS Support方案] 頁面上。

選取下列選項:

  • 案例類型:技術支援

  • 服務:分散式阻斷服務 (DDoS)

  • 類別:傳入 AWS

  • 嚴重等級:選擇適當選項

與我們的代表討論時,請說明您是遭受 DDoS 攻擊的AWS Shield Advanced客戶。我們的代表會引導您呼叫適當的 DDoS 專家。如果您使用分散式拒絕服務 (DDoS) 服務類型向AWS Support中心提出案例,您可以透過聊天或電話直接與 DDoS 專家交談。DDoS 支援工程師可以協助您識別攻擊,建議如何改善您的 AWS 架構,並提供使用 AWS 服務指引以防禦 DDoS 攻擊。

針對應用程式層攻擊,SRT 可協助您分析可疑活動。如果您已為資源啟用自動緩解措施,SRT 可以檢閱 Shield Advanced 自動針對攻擊進行的緩和措施。在任何情況下,SRT 都可以幫助您審查和緩解問題。SRT 建議的緩解措施通常需要 SRT 在您的帳戶中建立或更新 AWS WAF Web 存取控制清單 (Web ACL)。SRT 將需要您的許可才能執行此工作。

重要

我們建議您按照中的步驟主動設定護 Shield 回應群組 (SRT) 的存取權向 SRT 提供攻擊期間協助您所需的權限AWS Shield Advanced,以便在啟用過程中進行操作。提前提供許可有助於防止在發生實際攻擊時所造成的事件延遲。

SRT 可協助您分類 DDoS 攻擊,以識別攻擊特徵和模式。在您的同意下,SRT 會建立並部署AWS WAF規則以減輕攻擊。

您也可以在可能發生攻擊之前或期間聯絡 SRT,以檢閱緩和措施,並開發和部署自訂的緩和措施。例如,如果您正在執行 Web 應用程式,而且只需要開啟連接埠 80 和 443,您可以使用 SRT 將 Web ACL 預先設定為「允許」連接埠 80 和 443。

您在帳戶層級授權並連絡 SRT。也就是說,如果您在 Firewall Manager 員防護進階策略中使用 Shield Advanced,帳戶擁有者 (而非 Firewall Manager 員管理員) 必須連絡 SRT 以取得支援。Firewall Manager 員管理員只能針對他們擁有的帳戶連絡 SRT。

手動緩解應用程式層 DDoS 攻擊

如果您確定資源的事件頁面中的活動代表 DDoS 攻擊,則可以在 Web ACL 中創建自己的AWS WAF規則以減輕攻擊。如果您不是 Shield 牌進階客戶,這是唯一可用的選項。 AWS WAF包含AWS Shield Advanced在內,無需額外費用。若要取得有關在 Web ACL 中建立規則的資訊,請參閱〈〉網頁存取控制清單 (網路 ACL)

如果您使用AWS Firewall Manager,則可以將AWS WAF規則新增至 Firewall Manager 員AWS WAF策略。

手動緩解潛在的應用程式層 DDoS 攻擊
  1. 使用符合異常行為的準則,在 Web ACL 中建立規則陳述式。首先,將它們配置為計數匹配請求。如需有關設定 Web ACL 和規則陳述式的資訊,請參閱Web ACL 規則和規則群組評估測試和調整您的AWS WAF保護

    注意

    請務必先使用規則動作Count而非使用規則動作來測試您的規則Block。在您認為新規則正在識別正確的請求之後,您可以修改它們以阻止請求。

  2. 監視要求計數,以判斷您是否要封鎖相符的要求。如果要求數量持續異常高,而且您確信規則正在擷取造成大量的要求,請變更 Web ACL 中的規則以封鎖要求。

  3. 繼續監視事件頁面,以確保您的流量正在按照您的需求進行處理。

AWS 提供預先設定的範本,讓您快速開始使用。這個範本包含一組 AWS WAF 規則,您可以自訂規則並用來封鎖常見 web 型攻擊。如需詳細資訊,請參閱 AWS WAF 安全自動化