响应 DDoS 事件 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
联系应用程序层攻击的支持人员手动缓解应用层攻击
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

响应 DDoS 事件

Amazon自动缓解网络和传输层 (第 3 层和第 4 层) 分布式拒绝服务 (DDoS) 攻击。如果您使用 Shield Advanced 保护您的 Amazon EC2 实例,在攻击期间,Shield Advanced 会自动将您的 Amazon VPC 网络 ACL 部署到Amazon网络。这使得 Shield Advanced 能够针对较大的 DDoS 事件提供保护。有关网络 ACL 的更多信息,请参阅网络 ACL

对于应用程序层 (第 7 层) DDoS 攻击,Amazon尝试检测和通知Amazon Shield Advanced客户通过 CloudWatch 警报。默认情况下,它不会自动应用缓解措施,以避免无意中阻止有效的用户流量。

对于应用层(第 7 层)资源,您可以使用以下选项来响应攻击。

此外,在攻击发生之前,您可以主动启用以下缓解选项:

  • 亚马逊上的自动缓解措施 CloudFront 分布— 使用此选项,Shield Advanced 在 Web ACL 中为您定义和管理缓解规则。有关自动缓解应用程序层的信息,请参阅Shield Advanced 自动应用层 DDoS.

  • 主动联系— 当Amazon Shield Advanced检测到针对您的应用程序发起的大型应用程序层攻击,SRT 可以主动与您联系。SRT 会分 DDoS 事件并创建Amazon WAF缓解措施。SRT 与您联系,并在征得您同意的情况下,可以应用Amazon WAF规则。有关此选项的更多信息,请参阅 配置主动参与操作

在应用层 DDoS 攻击期间联系支持中心

如果您是Amazon Shield Advanced客户,您可以联系Amazon Web Services SupportCenter以获取缓解措施的帮助。重大和紧急案例将直接转给 DDoS 专家。与Amazon Shield Advanced,复杂的案例可以上报到AmazonShield 响应团队 (SRT),在保护方面有丰富的经验Amazon、Amazon.com 及其子公司。有关 SRT 的更多信息,请参阅Shield 响应小组 (SRT) 支持.

要获得 Shield 牌响应团队 (SRT) 支持,请联系Amazon Web Services SupportCenter. 对您的案例的响应时间取决于您选择的严重性以及响应时间,在Amazon Web Services Support计划页.

选择以下选项:

  • 案例类型:技术支持

  • Service (服务):分布式拒绝服务 (DDoS)

  • 类别:入站至Amazon

  • 严重性:选择适当的选项

当与我们的代表讨论时,请说明您是Amazon Shield Advanced客户遇到可能的 DDoS 攻击。我们的代表会将您的电话转给适当的 DDoS 专家。如果您使用Amazon Web Services SupportCenter使用分布式拒绝服务 (DDoS)服务类型,您可以通过聊天或电话直接与 DDoS 专家交流。DDoS 支持工程师可以帮助您识别攻击、建议对 Amazon 架构的改进,并提供关于使用 Amazon 服务缓解 DDoS 攻击的指导。

对于应用程序层攻击,SRT 可帮助您分析可疑活动。如果您为资源启用了自动缓解功能,则 SRT 可以查看 Shield Advanced 自动对攻击实施的缓解措施。无论如何,SRT 可以帮助您审查和缓解问题。SRT 建议的缓解措施通常需要 SRT 创建或更新Amazon WAF您账户中的 Web 访问控制列表 (Web ACL)。SRT 将需要您的授权才能完成此项工作。

重要

我们建议作为启用的一部分Amazon Shield Advanced,请按中的步骤操作。为Shield 响应小组 (SRT) 配置访问权限主动向 SRT 提供在攻击期间为您提供帮助所需的权限。提前提供授权有助于防止在实际发生攻击时耽误问题的解决。

SRT 可帮助您筛选 DDoS 攻击,以识别攻击签名和模式。经您同意后,SRT 将创建和部署Amazon WAF减轻攻击的规则。

您也可以在可能发起攻击前或期间联系 SRT,以查看缓解措施以及开发和部署自定义缓解措施。例如,如果您正在运行一个 Web 应用程序且只需打开端口 80 和 443,您可以与 SRT 一起预先配置一个 Web ACL,只 “允许” 打开端口 80 和 443。

您在账户级别授权和联系 SRT。也就是说,如果您在 Firewall Manager Shield 牌高级策略中使用 Shield Advanced,帐户所有者,而不是防火墙管理员必须联系 SRT 以获得支持。防火墙管理员只能为他们拥有的帐户联系 SRT。

手动缓解应用层 DDoS 攻击

如果您确定您的资源事件页面中的活动属于 DDoS 攻击,您可以创建自己的活动。Amazon WAFWeb ACL 中的规则以缓解攻击。如果您不是 Shield Advanced 客户,这是唯一可用的选择。Amazon WAF随提供Amazon Shield Advanced没有任何额外费用。有关在 Web ACL 中创建规则的信息,请参阅Web ACL(Web ACL).

如果您使用Amazon Firewall Manager,您可以添加您的Amazon WAFFirewall Manager 器的规则Amazon WAF政策。

手动缓解潜在的应用层 DDoS 攻击

  1. 使用符合异常行为的条件在 Web ACL 中创建规则语句。首先,请将其配置为对匹配请求计数。有关配置 Web ACL 和规则语句的信息,请参阅Web ACL 规则和规则组评估测试和调整您的Amazon WAF保护措施.

    注意

    始终首先使用规则操作来测试规则。Count而不是Block. 当您认为您的新规则能确定正确的请求后,可以修改它们以阻止请求。

  2. 监控请求计数以确定是否要阻止匹配的请求。如果请求量仍然异常高,并且您确信自己的规则正在捕获导致大容量的请求,请更改 Web ACL 中的规则以阻止请求。

  3. 继续监控活动页面,以确保您的流量能够按照自己的要求进行处理。

Amazon 提供了预配置的模板,旨在帮助您快速入门。这些模板包含一组 Amazon WAF 规则,可供您进行自定义或用于阻止基于 Web 的常见攻击。有关更多信息,请参阅 Amazon WAF 安全自动化