回應 DDoS 事件

AWS 自動緩解網路和傳輸層 (第 3 層和第 4 層) 分散式拒絕服務 (DDoS) 攻擊。如果您使用防 Shield 進階來保護您的 Amazon EC2 執行個體，則進行攻擊防 Shield 進階時，會自動將您的 Amazon VPC 網路 ACL 部署到網路邊界。 AWS 這使得 Shield 牌進階能夠針對較大的 DDoS 事件提供保護。如需網路 ACL 的詳細資訊，請參閱 網路 ACL。

對於應用程序層（第 7 層）DDoS 攻擊， AWS 嘗試通過 CloudWatch 警報檢測並通知 AWS Shield Advanced 客戶。依預設，它不會自動套用緩和措施，以避免意外封鎖有效的使用者流量。

對於應用程式層 (第 7 層) 資源，您可以使用下列選項來回應攻擊。

• 提供您自己的緩和措施 — 您可以自行調查和減輕攻擊。如需相關資訊，請參閱手動緩解應用程式層 DDoS 攻擊。

• 聯絡支援 — 如果您是 Shield Advanced 客戶，您可以聯絡AWS Support 中心以取得有關緩解措施的協助。重大和緊急案例會直接路由發送給 DDoS 專家。如需相關資訊，請參閱在應用程式層 DDoS 攻擊期間聯絡支援中心。

此外，在攻擊發生之前，您可以主動啟用下列緩和措施選項：

• Amazon CloudFront 分發上的自動緩解措施 — 使用此選項，Shield Advanced 在您的 Web ACL 中為您定義和管理緩解規則。如需自動應用程式層緩和措施的資訊，請參閱Shield 先進的自動應用層 DDoS 緩解。

• 主動參與 — 當 AWS Shield Advanced 偵測到針對其中一個應用程式的大型應用程式層攻擊時，SRT 可以主動與您聯絡。SRT 會對 DDoS 事件進行分類，並建立 AWS WAF 緩和措施。SRT 與您聯繫，並且在您同意的情況下，可以應用 AWS WAF 規則。如需有關此選項的詳細資訊，請參閱 設定主動參與。

在應用程式層 DDoS 攻擊期間聯絡支援中心

如果您是 AWS Shield Advanced 客戶，可以聯絡AWS Support 中心以取得有關緩解措施的協助。重大和緊急案例會直接路由發送給 DDoS 專家。通過 AWS Shield Advanced，複雜的案例可以升級到 AWS Shield 牌響應團隊（SRT），該團隊在保護方面擁有豐富的經驗 AWS，Amazon.com 及其子公司。如需 SRT 的詳細資訊，請參閱Shield 牌回應小組 (SRT) 支援。

若要取得 Shield 牌回應小組 (SRT) 支援，請聯絡中AWS Support 心。您的案例的回應時間取決於您選取的嚴重性和回應時間，這些時間會記錄在 [AWS Support 方案] 頁面上。

選取下列選項：

• 案例類型：技術支援

• 服務：分散式阻斷服務 (DDoS)

• 類別:入境至 AWS

• 嚴重等級：選擇適當選項

與我們的代表討論時，請說明您是遭受 DDoS 攻擊的 AWS Shield Advanced 客戶。我們的代表會引導您呼叫適當的 DDoS 專家。如果您使用分散式拒絕服務 (DDoS) 服務類型向AWS Support 中心提出案例，您可以透過聊天或電話直接與 DDoS 專家交談。DDoS 支援工程師可協助您識別攻擊、建議您的 AWS 架構改進，並提供 DDoS 攻擊緩解 AWS 服務的使用指引。

針對應用程式層攻擊，SRT 可協助您分析可疑活動。如果您已為資源啟用自動緩解措施，SRT 可以檢閱 Shield Advanced 自動針對攻擊進行的緩和措施。在任何情況下，SRT 都可以幫助您審查和緩解問題。SRT 建議的緩解措施通常需要 SRT 在您的帳戶中建立或更新 AWS WAF Web 存取控制清單 (Web ACL)。SRT 將需要您的許可才能執行此工作。

重要

我們建議您按照中的步驟主動設定護 Shield 回應群組 (SRT) 的存取權限向 SRT 提供攻擊期間協助您所需的權限 AWS Shield Advanced，以便在啟用過程中進行操作。提前提供許可有助於防止在發生實際攻擊時所造成的事件延遲。

SRT 可協助您分類 DDoS 攻擊，以識別攻擊特徵和模式。在您的同意下，SRT 會建立並部署 AWS WAF 規則以減輕攻擊。

您也可以在可能發生攻擊之前或期間聯絡 SRT，以檢閱緩和措施，並開發和部署自訂的緩和措施。例如，如果您正在執行 Web 應用程式，而且只需要開啟連接埠 80 和 443，您可以使用 SRT 將 Web ACL 預先設定為「允許」連接埠 80 和 443。

您在帳戶層級授權並連絡 SRT。也就是說，如果您在 Firewall Manager 員防護進階策略中使用 Shield Advanced，帳戶擁有者 (而非 Firewall Manager 員管理員) 必須連絡 SRT 以取得支援。Firewall Manager 員管理員只能針對他們擁有的帳戶連絡 SRT。

手動緩解應用程式層 DDoS 攻擊

如果您確定資源的事件頁面中的活動代表 DDoS 攻擊，則可以在 Web ACL 中創建自己的 AWS WAF 規則以減輕攻擊。如果您不是 Shield 牌進階客戶，這是唯一可用的選項。 AWS WAF 包含 AWS Shield Advanced 在內，無需額外費用。若要取得有關在 Web ACL 中建立規則的資訊，請參閱〈〉AWS WAF 網頁存取控制清單 (網路 ACL)。

如果您使用 AWS Firewall Manager，則可以將 AWS WAF 規則新增至 Firewall Manager 員 AWS WAF 策略。

手動緩解潛在的應用程式層 DDoS 攻擊

1. 使用符合異常行為的準則，在 Web ACL 中建立規則陳述式。首先，將它們配置為計數匹配請求。如需有關設定 Web ACL 和規則陳述式的資訊，請參閱Web ACL 規則和規則群組評估和測試和調整您的 AWS WAF 保護。

   注意

   請務必先使用規則動作Count而非使用規則動作來測試您的規則Block。在您認為新規則正在識別正確的請求之後，您可以修改它們以阻止請求。

2. 監視要求計數，以判斷您是否要封鎖相符的要求。如果要求數量持續異常高，而且您確信規則正在擷取造成大量的要求，請變更 Web ACL 中的規則以封鎖要求。

3. 繼續監視事件頁面，以確保您的流量正在按照您的需求進行處理。

AWS 提供預先設定的範本，讓您快速開始使用。範本包含一組 AWS WAF 規則，您可以自訂並使用這些規則來封鎖常見的 Web 型攻擊。如需詳細資訊，請參閱 AWS WAF 安全自動化。