Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Verteidigung auf Anwendungsebene (BP1,) BP2
<a name="application-layer-defense-bp1-bp2"></a>

 Viele der bisher in diesem paper erörterten Techniken sind wirksam, um die Auswirkungen von DDoS Angriffen auf die Infrastrukturebene auf die Verfügbarkeit Ihrer Anwendung zu mindern. Um sich auch vor Angriffen auf Anwendungsebene zu schützen, müssen Sie eine Architektur implementieren, die es Ihnen ermöglicht, bösartige Anfragen gezielt zu erkennen, zu skalieren, zu absorbieren und zu blockieren. Dies ist ein wichtiger Aspekt, da netzwerkbasierte DDoS Abwehrsysteme bei der Abwehr komplexer Angriffe auf Anwendungsebene im Allgemeinen nicht wirksam sind. 

# Erkennen und filtern Sie bösartige Webanfragen (,) BP1 BP2
<a name="detect-and-filter-malicious-web-requests-bp1-bp2"></a>

 Wenn Ihre Anwendung läuft AWS, können Sie Amazon CloudFront (und seine HTTP Caching-Funktion) und Shield Advanced Automatic Application Layer-Schutz nutzen AWS WAF, um zu verhindern, dass bei DDoS Angriffen auf Anwendungsebene unnötige Anfragen Ihren Ursprung erreichen. 

# Amazon CloudFront
<a name="cloudfront"></a>

 Amazon CloudFront kann dazu beitragen, die Serverlast zu reduzieren, indem verhindert wird, dass Datenverkehr, der nicht aus dem Internet stammt, Ihren Ursprung erreicht. Um eine Anfrage an eine CloudFront Anwendung zu senden, muss die Verbindung mit einer gültigen IP-Adresse über einen abgeschlossenen TCP Handshake hergestellt werden, der nicht gefälscht werden kann. CloudFront Kann außerdem Verbindungen vor langsam lesenden oder langsam schreibenden Angreifern (z. B. [Slowloris](https://en.wikipedia.org/wiki/Slowloris_(computer_security))) automatisch schließen. 

## CDN-Caching
<a name="cdn-caching"></a>

 CloudFront ermöglicht es Ihnen, sowohl dynamische als auch statische Inhalte von AWS Edge-Standorten aus bereitzustellen. Indem Sie Proxyinhalte aus dem CDN Cache bereitstellen, verhindern Sie, dass Anfragen für die Dauer des Cachings von einem bestimmten Edge-Cache-Knoten aus Ihren Ursprung erreichen. TTL In Verbindung mit dem [Kollabieren von Anfragen](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/RequestAndResponseBehaviorCustomOrigin.html#request-custom-traffic-spikes) für abgelaufene, aber zwischenspeicherbare Inhalte TTL bedeuten selbst sehr kurze Anfragen, dass während einer Flut von Anfragen für diesen Inhalt nur eine geringe Anzahl von Anfragen Ihren Ursprung erreicht. Darüber hinaus kann die Aktivierung von Funktionen wie [CloudFront Origin Shield](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/origin-shield.html) dazu beitragen, die Belastung Ihres Origins weiter zu reduzieren. Alles, was Sie tun können, um [Ihre Cache-Trefferquote zu verbessern](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cache-hit-ratio.html), kann den Unterschied zwischen einem effektiven und einem nicht wirksamen Request-Flood-Angriff ausmachen. 

# AWS WAF
<a name="aws-waf"></a>

 Mithilfe AWS WAF von können Sie Web-Zugriffskontrolllisten (WebACLs) für Ihre globalen CloudFront Distributionen oder regionalen Ressourcen konfigurieren, um Anfragen auf der Grundlage von Anforderungssignaturen zu filtern, zu überwachen und zu blockieren. Um zu bestimmen, ob Anfragen zugelassen oder blockiert werden sollen, können Sie Faktoren wie die IP-Adresse oder das Herkunftsland, bestimmte Zeichenfolgen oder Muster in der Anfrage, die Größe bestimmter Teile der Anfrage und das Vorhandensein von bösartigem SQL Code oder Skripting berücksichtigen. Sie können auch CAPTCHA Puzzles und automatische Client-Sitzungen gegen Anfragen ausführen. 

 AWS WAF Beides ermöglicht es dir CloudFront außerdem, geografische Einschränkungen festzulegen, um Anfragen aus ausgewählten Ländern zu blockieren oder zuzulassen. Dies kann dazu beitragen, Angriffe von geografischen Standorten aus zu blockieren oder ihre Geschwindigkeit zu begrenzen, von denen Sie nicht erwarten, dass sie Benutzern zugutekommen. Wenn detaillierte Anweisungen für geografische Vergleichsregeln enthalten sind AWS WAF, können Sie den Zugriff bis auf Regionsebene kontrollieren. 

 Mithilfe von [Scope-down-Anweisungen](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-scope-down-statements.html) können Sie den Umfang der Anfragen einschränken, die von der Regel ausgewertet werden, um Kosten zu sparen. Außerdem können Sie [Webanfragen mit „Labels“ versehen](https://docs.aws.amazon.com/waf/latest/developerguide/waf-labels.html), damit eine Regel, die der Anfrage entspricht, die Vergleichsergebnisse an Regeln weitergeben kann, die später im selben Web ausgewertet werden. ACL Wählen Sie diese Option, um dieselbe Logik für mehrere Regeln wiederzuverwenden. 

 Sie können auch eine vollständige benutzerdefinierte Antwort mit Antwortcode, Headern und Text definieren. 

 Um böswillige Anfragen zu identifizieren, überprüfen Sie Ihre Webserverprotokolle oder verwenden Sie AWS WAF die Protokollierung und Anforderungssampling. Wenn Sie die AWS WAF Protokollierung aktivieren, erhalten Sie detaillierte Informationen über den vom Web analysierten Datenverkehr. ACL AWS WAF unterstützt die Protokollfilterung, sodass Sie angeben können, welche Webanfragen protokolliert werden und welche Anfragen nach der Überprüfung aus dem Protokoll gelöscht werden. 

 Zu den in den Protokollen aufgezeichneten Informationen gehören die Uhrzeit, zu der die Anfrage von Ihrer AWS Ressource AWS WAF eingegangen ist, detaillierte Informationen zu der Anfrage und die entsprechende Aktion für jede angeforderte Regel. 

 Stichprobenanfragen enthalten Details zu Anfragen innerhalb der letzten drei Stunden, die einer Ihrer AWS WAF Regeln entsprachen. Sie können diese Informationen verwenden, um potenziell bösartige Datenverkehrssignaturen zu identifizieren und eine neue Regel zu erstellen, um diese Anfragen abzulehnen. Wenn Sie eine Reihe von Anfragen mit einer zufälligen Abfragezeichenfolge sehen, stellen Sie sicher, dass Sie nur die Abfragezeichenfolgenparameter zulassen, die für den Cache Ihrer Anwendung relevant sind. Diese Technik ist hilfreich, um einen Cache-Busting-Angriff gegen Ihren Ursprung abzuwehren. 

# AWS WAF — Ratenbasierte Regeln
<a name="aws-waf-rate-based-rules"></a>

 AWS empfiehlt dringend, sich vor einer Flut von HTTP Anfragen zu schützen, indem die ratenbasierten Regeln verwendet werden AWS WAF , um IP-Adressen böswilliger Akteure automatisch zu blockieren, wenn die Anzahl der Anfragen, die in einem 5-minütigen gleitenden Fenster eingehen, einen von Ihnen definierten Schwellenwert überschreitet. IP-Adressen von Clients, bei denen ein Verstoß vorliegt, erhalten eine verbotene 403-Antwort (oder eine konfigurierte Blockfehlerantwort) und bleiben blockiert, bis die Anforderungsraten unter den Schwellenwert fallen. 

 Es wird empfohlen, ratenbasierte Regeln zu kombinieren, um einen besseren Schutz zu bieten, sodass Sie: 
+  Eine pauschale ratenbasierte Regel zum Schutz Ihrer Anwendung vor großen Fluten. HTTP 
+  Eine oder mehrere ratenbasierte Regeln zum Schutz bestimmter URIs Regeln zu restriktiveren Tarifen als die pauschale ratenbasierte Regel. 

 Sie können beispielsweise eine pauschale, ratenbasierte Regel (keine Angabe zum Umfang) mit einer Obergrenze von 500 Anfragen innerhalb von 5 Minuten wählen und dann mithilfe von Scope-down-Aussagen eine oder mehrere der folgenden ratenbasierten Regeln mit niedrigeren Grenzwerten als 500 (bis zu 100 Anfragen innerhalb von 5 Minuten) erstellen: 
+  Schützen Sie Ihre **Webseiten** mit einer Scopedown-Anweisung wie "`if NOT uri_path contains '.'`", sodass Anfragen nach Ressourcen ohne Dateierweiterung weiter geschützt sind. Dadurch wird auch Ihre Homepage (`/`) geschützt, die häufig als URI Zielpfad angesehen wird. 
+  Schützen Sie **dynamische Endpunkte** mit einer Scopedown-Anweisung wie "“ `if method exactly matches 'post' (convert lowercase)` 
+  Schützen Sie **umfangreiche Anfragen**, die Ihre Datenbank erreichen oder ein Einmalkennwort (OTP) aufrufen, mit einem Scopedown wie "“ `if uri_path starts_with '/login' OR uri_path starts_with '/signup' OR uri_path starts_with '/forgotpassword'`

 Ratenbasierte Lösungen im Blockmodus bilden den Eckpfeiler Ihrer defense-in-depth WAF Konfiguration zum Schutz vor einer Flut von Anfragen und sind Voraussetzung für die Genehmigung von AWS Shield Advanced Kostenschutzanfragen. In den folgenden Abschnitten werden wir weitere defense-in-depth WAF Konfigurationen untersuchen. 

# AWS WAF — IP-Reputation
<a name="aws-waf-ip-reputation"></a>

 Um Angriffe zu verhindern, die auf der Reputation von IP-Adressen basieren, können Sie Regeln mithilfe von IP-Abgleich erstellen oder [verwaltete Regeln](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-list.html) für verwenden AWS WAF. 

 Die [Regelgruppe der IP-Reputationsliste von Amazon](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-ip-rep.html#aws-managed-rule-groups-ip-rep-amazon) umfasst Regeln, die auf den internen Bedrohungsinformationen von Amazon basieren. Diese Regeln suchen nach IP-Adressen, bei denen es sich um Bots handelt, die AWS Ressourcen ausspionieren oder aktiv an Aktivitäten teilnehmen. DDoS Es wurde beobachtet, dass die `AWSManagedIPDDoSList` Regel mehr als 90% der Fluten bösartiger Anfragen blockiert. 

 Die [Regelgruppe „Liste anonymer IP-Adressen](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-ip-rep.html#aws-managed-rule-groups-ip-rep-anonymous)“ enthält Regeln zum Blockieren von Anfragen von Diensten, die die Verschleierung der Identität von Zuschauern ermöglichen. Dazu gehören Anfragen von ProxysVPNs, Tor-Knoten und Cloud-Plattformen (ausgenommen). AWS

 Darüber hinaus können Sie IP-Reputationslisten von Drittanbietern verwenden, indem Sie die [IP-Listen-Parser-Komponente](https://docs.aws.amazon.com/solutions/latest/security-automations-for-aws-waf/component-details.html#ip-lists-parser) der [Security Automations](https://docs.aws.amazon.com/solutions/latest/security-automations-for-aws-waf/component-details.html) for Solution verwenden. AWS WAF

# AWS WAF - Intelligente Abwehr von Bedrohungen
<a name="aws-waf-intelligent-threat-mitigation"></a>

 Botnetze stellen eine ernste Sicherheitsbedrohung dar und werden häufig für illegale oder schädliche Aktivitäten wie das Versenden von Spam, das Stehlen vertraulicher Daten, das Auslösen von Ransomware-Angriffen, das Begehen von Werbebetrug durch betrügerische Klicks oder das Starten von Distributed () -Angriffen eingesetzt. denial-of-service DDoS Verwenden Sie die verwaltete Regelgruppe Bot [Control, um AWS WAF Bot-Angriffe](https://docs.aws.amazon.com/waf/latest/developerguide/waf-bot-control.html) zu verhindern. Diese Regelgruppe bietet eine grundlegende, „allgemeine“ Schutzstufe, mit der selbstidentifizierende Bots gekennzeichnet werden, allgemein wünschenswerte Bots verifiziert und Bot-Signaturen mit hoher Zuverlässigkeit erkannt werden. Außerdem bietet sie eine „gezielte“ Schutzstufe, die auch fortgeschrittene Bots erkennt, die sich nicht selbst identifizieren. 

Gezielte Schutzmaßnahmen verwenden fortschrittliche Erkennungstechniken wie Browserabfragen, Fingerabdrücke und Verhaltensheuristiken, um bösartigen Bot-Traffic zu identifizieren, und wenden dann Gegenmaßnahmen wie Ratenbegrenzung und Challenge-Regelaktionen an. CAPTCHA Targeted bietet auch Optionen zur Ratenbegrenzung, um menschenähnliche Zugriffsmuster durchzusetzen und dynamische Ratenbegrenzungen mithilfe von Anforderungstoken anzuwenden. Weitere Informationen finden Sie unter [Regelgruppe AWS WAF Bot Control](https://docs.aws.amazon.com/waf/latest/developerguide/waf-bot-control.html). Um böswillige Übernahmeversuche auf der Anmeldeseite Ihrer Anwendung zu erkennen und zu verwalten, können Sie die Regelgruppe AWS WAF Fraud Control Account Takeover Prevention (ATP) verwenden. Zu diesem Zweck untersucht die Regelgruppe Anmeldeversuche, die Kunden an den Anmeldeendpunkt Ihrer Anwendung senden, und untersucht auch die Antworten Ihrer Anwendung auf Anmeldeversuche, um die Erfolgs- und Fehlschlagrate nachzuverfolgen.

 Betrug bei der Kontoerstellung ist eine illegale Online-Aktivität, bei der ein Angreifer versucht, ein oder mehrere gefälschte Konten zu erstellen. Angreifer verwenden gefälschte Konten für betrügerische Aktivitäten wie den Missbrauch von Werbe- und Anmeldeboni, das Ausgeben einer anderen Person und für Cyberangriffe wie Phishing. Das Vorhandensein gefälschter Konten kann sich negativ auf Ihr Unternehmen auswirken, da es Ihren Ruf bei Kunden schädigt und der Gefahr von Finanzbetrug ausgesetzt ist. 

 Sie können Betrugsversuche bei der Kontoerstellung überwachen und kontrollieren, indem Sie die Funktion AWS WAF Fraud Control zur Betrugsprävention bei der Kontoerstellung (ACFP) implementieren. AWS WAF bietet diese Funktion in der Von AWS verwaltete Regeln Regelgruppe `AWS ManagedRulesACFPRuleSet` mit integrierter Begleitanwendung anSDKs. 

 Weitere Informationen zu diesen Schutzmaßnahmen finden Sie unter [https://docs.aws.amazon.com/waf/latest/developerguide/waf-managed-protections.html](https://docs.aws.amazon.com/waf/latest/developerguide/waf-managed-protections.html). 

# Automatisches Abmildern von Ereignissen auf Anwendungsebene DDoS (,,) BP1 BP2 BP6
<a name="automatically-mitigate-application-layer-ddos-events-bp1-bp2-bp6"></a>

 Wenn Sie ein Abonnement haben AWS Shield Advanced, können Sie die [automatische [DDoSAbwehr auf Anwendungsebene](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-automatic-app-layer-response.html) von Shield Advanced](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-automatic-app-layer-response.html) aktivieren. Diese Funktion erstellt, bewertet und implementiert automatisch AWS WAF Regeln zur Abwehr von DDoS Layer-7-Ereignissen in Ihrem Namen. 

 AWS Shield Advanced richtet eine Datenverkehrsbasis für jede geschützte Ressource ein, die einem Web zugeordnet ist. WAF ACL Datenverkehr, der erheblich von der festgelegten Ausgangsbasis abweicht, wird als DDoS potenzielles Ereignis gekennzeichnet. Nachdem ein Ereignis erkannt wurde, wird AWS Shield Advanced versucht, eine Signatur der Webanfragen zu identifizieren, die das Ereignis ausmachen. Wenn eine Signatur identifiziert wird, werden AWS WAF Regeln erstellt, um den Datenverkehr mit dieser Signatur einzudämmen. 

 Sobald Regeln anhand der historischen Baseline bewertet und als sicher eingestuft wurden, werden sie der von Shield verwalteten Regelgruppe hinzugefügt, und Sie können wählen, ob die Regeln im Zähl- oder Blockmodus bereitgestellt werden sollen. Shield Advanced entfernt automatisch AWS WAF Regeln, nachdem festgestellt wurde, dass ein Ereignis vollständig abgeklungen ist. 

# Engage SRT (nur für Shield Advanced-Abonnenten)
<a name="engage-srt-shield-advanced-subscribers-only"></a>

 Wenn Sie Shield Advanced abonniert haben, können Sie den außerdem beauftragen, Regeln AWS SRT zur Abwehr eines Angriffs zu erstellen, der die Verfügbarkeit Ihrer Anwendung beeinträchtigt. Sie können AWS SRT eingeschränkten Zugriff auf Ihr Konto gewähren und. AWS Shield Advanced AWS WAF APIs AWS SRTgreift nur mit Ihrer ausdrücklichen Genehmigung auf diese APIs zu, um Abhilfemaßnahmen auf Ihrem Konto vorzunehmen. Weitere Informationen finden Sie im [Support](support.md) Abschnitt dieses Dokuments. 

 Sie können AWS Firewall Manager es verwenden, um Sicherheitsregeln wie AWS Shield Advanced Schutzmaßnahmen und Regeln in Ihrer gesamten Organisation zentral zu konfigurieren und AWS WAF zu verwalten. Ihr AWS Organizations Verwaltungskonto kann ein Administratorkonto festlegen, das berechtigt ist, Firewall Manager Manager-Richtlinien zu erstellen. Mit diesen Richtlinien können Sie Kriterien wie Ressourcentyp und Tags definieren, die bestimmen, wo Regeln angewendet werden. Dies ist nützlich, wenn Sie mehrere Konten haben und Ihren Schutz standardisieren möchten. 

 Weitere Informationen über: 
+  Von AWS verwaltete Regeln für AWS WAF, siehe [Von AWS verwaltete Regeln für AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups.html). 
+  Informationen zur Beschränkung des Zugriffs auf Ihre CloudFront Distribution mithilfe geografischer Beschränkungen finden Sie unter [Beschränkung der geografischen Verbreitung Ihrer Inhalte](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/georestrictions.html). 
+  Informationen zur Verwendung AWS WAF finden Sie unter: 
  +  [Erste Schritte mit AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html) 
  +  [Protokollierung von ACL Web-Traffic-Informationen](https://docs.aws.amazon.com/waf/latest/developerguide/logging.html) 
  +  [Ein Beispiel für Webanfragen anzeigen](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-testing.html#web-acl-testing-view-sample) 
+  Konfiguration ratenbasierter Regeln finden Sie unter [Schützen von Websites und Diensten mithilfe von ratenbasierten](https://aws.amazon.com/blogs/aws/protect-web-sites-services-using-rate-based-rules-for-aws-waf/) Regeln für. AWS WAF
+  Informationen zur Verwaltung der Bereitstellung von Regeln auf Ihren AWS Ressourcen mit Firewall Manager finden Sie unter: 
  +  [Erste Schritte mit Firewall Manager AWS WAF Manager-Richtlinien](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started-fms.html). 
  +  [Erste Schritte mit den erweiterten Richtlinien von Firewall Manager Shield](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started-fms-shield.html).