檢閱 DDoS 事件 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

檢閱 DDoS 事件

監控跨 AWS 的威脅

使用AWS Shield全域威脅儀表板,可檢視有關 DDoS 威脅環境跨、Amazon EC2 Amazon CloudFront、Elastic Load Balancing 和 Amazon Route 53 的趨勢和指標。

全域威脅儀表板提供近乎即時的全域AWS威脅趨勢,包括最大型的事件、熱門事件向量、相對大量數量的事件。您可以在儀表板上自訂不同時間期間,以檢視重大的 DDoS 事件歷史記錄。

注意

此處提供的主控台指南適用於最新版本的AWS Shield控制台,在 2020 年發布。在主控台中,您可以切換版本。

檢視全域威脅儀表板

  1. 登入AWS Management Console,開啟AWS WAF Shield 主控台 (S)https://console.aws.amazon.com/wafv2/

  2. 在 中AWS Shield導覽列,選擇全域威脅儀表板

  3. 選擇時間區間。

您可以使用全域威脅儀表板的資訊,更進一步了解威脅環境,協助您進行決策,以更加妥善地保護您的AWS的費用。

Shield 進階指標和報告

AWS Shield Advanced提供即時指標和報告,讓您充分了解AWS的費用。

這些指標和報告僅提供給 AWS Shield Advanced 客戶。若要啟用 AWS Shield Advanced,請查閱 訂閱 AWS Shield Advanced

您可以檢視事件的即時指標,包括下列項目:

  • Event type

  • 開始時間

  • Duration

  • 每秒封鎖的位元或封包數

  • 每秒傳入的位元或封包數

  • 來源和目的地 IP 位址

  • 通訊協定

  • 資源 ASN

  • TCP 旗標

詳細資訊提供作用中事件和過去 12 個月內發生的事件。

此外,AWS Shield Advanced提供您可洞察在活動時的整個流量情況。您可以檢閱最普遍項目的詳細資訊:

  • IP 地址

  • URL

  • 推薦者

  • ASN

  • 國家/地區

  • 使用者代理程式

使用此資訊建立 AWS WAF 規則,防止未來的攻擊。例如,假設您看到許多來自您通常不交涉國家/地區的請求,此時,您可以建立 AWS WAF 規則封鎖來自該國/地區的請求。

除了此處描述的度量和報告之外,您還可以查看所有資源的年度事件摘要 (不論其保護狀態為何),在概觀頁面下過去一年的活動摘要

注意

此處提供的主控台指南適用於最新版本的AWS Shield控制台,在 2020 年發布。在主控台中,您可以切換版本。

檢閱 DDoS 事件

  1. 登入AWS Management Console,開啟AWS WAF Shield 主控台 (S)https://console.aws.amazon.com/wafv2/

  2. 在 中AWS Shield導覽列,選擇活動

所以此活動」頁面提供下列事件的可能目前狀態:

正在降低風險

說明發現疑似 Layer 3 或 4 事件AWS正在嘗試解決這個問題。

已排除風險

說明發現疑似 Layer 3 或 4 事件。AWS響應該事件,它似乎已經結束。

已發現 (持續中)

表示已識別可能的第 7 層事件。AWS無法處理 Layer 7 事件,因此您必須自行設計 Layer 緩解流程。如需回應可能 Layer 7 事件的詳細資訊,請參閱回應 DDoS 事件

已發現 (已解決)

說明發現疑似 Layer 7 事件,且似乎已解決。

如果您判斷可能的事件正在進行中,您可以透過AWS SupportCenter,或建立新的 web 存取控制清單 (Web ACL),自行防禦事件。

所以此活動頁面也包含索引標籤,其中包含偵測和緩解事件以及事件期間熱門參與者的其他詳細資料。

偵測和緩解

所以此偵測和緩解索引標籤會顯示圖形,其中顯示AWS Shield在報告此事件之前進行評估,以及放置的任何緩和措施的影響。它還為您自己的 Amazon Virtual Private Cloud VPC 中的資源提供基礎設施層分散式阻斷服務 (DDoS) 事件和AWS Global Accelerator加速器。Amazon CloudFront 或亞馬 Amazon Route 53 資源不包含偵測和緩解指標。

AWS Shield會根據多個維度評估受保護資源的流量。偵測到異常狀況時,Shield 會建立事件並報告觀察到異常狀況的流量維度。如果受保護的資源是彈性 IP 位址、Classic Load Balancer (CLB)、Application Load Balancer 或全域加速器加速器,則 Shield 會自動為受保護資源建立緩和措施。這可保護您的資源免於接收過多的流量,以及接收符合已知 DDoS 事件簽章的流量。

您可能會注意到偵測圖表中顯示的流量與緩和措施圖表上報告的通過和放棄度量之間的差異。如果導致事件的流量在建立緩和措施之前消退,則此流量不會出現在緩和措施度量中。偵測度量中第一個資料點與緩和度量中第一個資料點之間的時間差異是事件的偵測與緩和之間的延遲。偵測度量是以取樣的網路流量為基礎,而緩和度量則以緩和系統觀察到的流量為基礎。緩和度量是更精確地測量資源流量。SRT 可能會在流量過剩消退後留下緩和措施。Shield 可能會在經常被鎖定的資源上維持長時間執行的緩和措施。

熱門作者群

所以此熱門作者群索引標籤提供了在偵測到的事件期間流量來自何處的深入資訊。您可以檢視最高的磁碟區參與者,依照通訊協定、來源連接埠和 TCP 旗標等方面排序。您可以下載資訊,也可以調整所使用的單位和要顯示的貢獻者數量。

熱門參與者提供額外的度量維度,您可以使用這些維度來了解事件期間傳送至資源的網路流量。這些度量是以合法和潛在不需要流量的取樣網路流量為基礎。您在指標中看到的部分或全部流量可能已傳送至您的資源或被 Shield 封鎖。

如果無法識別重要貢獻者,則量度可能無法使用最高貢獻者資料。較有可能具有頂尖參與者度量的事件是大量事件,以及流量來源未高度分散的事件。

請記住,來源 IP 位址和來源出貨預先通知等來源屬性可能會遭到詐騙或反映。詐騙封包在 DDoS 事件中很常見,攻擊者想要混淆流量的真實來源。反映封包在 DDoS 事件中很常見,攻擊者想要透過反映網際網路上通常是合法的服務攻擊來產生較大、放大的流量洪流到目標。在這些情況下,來源 IP 位址或來源出貨預先通知是有效的,但不是攻擊的實際來源。

防禦潛在的 DDoS 攻擊

  1. 在 AWS WAF 中建立不尋常行為的條件。

  2. 這些條件新增至一個或多個 AWS WAF 規則。

  3. 新增這些規則至 Web ACL,並設定 Web ACL 計算符合這些規則的請求。

    注意

    您應該首先使用 Count 而不是 Block 來測試您的規則。您確定新的規則可正確地識別請求後,您可以修改規則來封鎖這些請求。

  4. 監控這些計數來判斷是否應該封鎖請求來源。如果對於磁碟區的請持續異常高、變更您的 Web ACL 以封鎖這些請求。

    如需更多詳細資訊,請參閱 建立 Web ACL

AWS 提供預先設定的範本,讓您快速開始使用。這個範本包含一組 AWS WAF 規則,您可以自訂規則並用來封鎖常見 web 型攻擊。如需詳細資訊,請參閱 AWS WAF 安全自動化