Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Techniken zur Schadensbegrenzung
<a name="mitigation-techniques"></a>

 Einige Formen der DDoS Risikominderung sind automatisch in den AWS Diensten enthalten. DDoSDie Ausfallsicherheit kann weiter verbessert werden, indem eine AWS Architektur mit spezifischen Diensten verwendet wird, die in den folgenden Abschnitten behandelt werden, und indem zusätzliche bewährte Methoden für jeden Teil des Netzwerkflusses zwischen Benutzern und Ihrer Anwendung implementiert werden. 

 Sie können AWS Dienste verwenden, die von Edge-Standorten aus betrieben werden, wie Amazon CloudFront, AWS Global Accelerator und Amazon Route 53, um einen umfassenden Verfügbarkeitsschutz gegen alle bekannten Angriffe auf Infrastrukturebene aufzubauen. Diese Dienste sind Teil des [AWS Global Edge-Netzwerks](https://aws.amazon.com/products/networking/edge-networking/) und können die DDoS Widerstandsfähigkeit Ihrer Anwendung verbessern, wenn sie jede Art von Anwendungsdatenverkehr von Edge-Standorten aus auf der ganzen Welt bedienen. Sie können Ihre Anwendung in jeder beliebigen Umgebung ausführen und diese Dienste verwenden AWS-Region, um die Verfügbarkeit Ihrer Anwendung zu schützen und die Leistung Ihrer Anwendung für legitime Endbenutzer zu optimieren. 

 Zu den Vorteilen der Verwendung von Amazon CloudFront, Global Accelerator und Amazon Route 53 gehören: 
+  Zugang zum Internet und Kapazitäten DDoS zur Schadensbegrenzung im gesamten AWS Global Edge-Netzwerk. Dies ist nützlich bei der Abwehr größerer volumetrischer Angriffe, die Terabit-Ausmaße erreichen können. 
+  AWS Shield DDoSAbwehrsysteme sind in AWS Edge-Services integriert, sodass die Geschwindigkeit time-to-mitigate von Minuten auf weniger als eine Sekunde reduziert wird. 
+  Stateless SYN Flood Mitigation verifiziert eingehende Verbindungen mithilfe von SYN Cookies, bevor sie an den geschützten Dienst weitergeleitet werden. Dadurch wird sichergestellt, dass nur gültige Verbindungen zu Ihrer Anwendung gelangen, und gleichzeitig werden Ihre legitimen Endbenutzer vor Fehlalarmen geschützt. 
+  Automatische Traffic-Engineering-Systeme, die die Auswirkungen großer DDoS volumetrischer Angriffe verteilen oder isolieren. All diese Dienste isolieren Angriffe an der Quelle, bevor sie Ihren Ursprung erreichen, was bedeutet, dass weniger Auswirkungen auf die durch diese Dienste geschützten Systeme entstehen. 
+  Der Schutz auf Anwendungsebene erfordert in CloudFront Kombination [AWS WAF](https://aws.amazon.com/waf/)damit keine Änderung der aktuellen Anwendungsarchitektur (z. B. in einem AWS-Region oder einem lokalen Rechenzentrum). 

 Es fallen keine Gebühren für eingehende Datenübertragungen an AWS und Sie zahlen auch nicht für DDoS Angriffsdatenverkehr, der durch abgewehrt wird. AWS Shield Das folgende Architekturdiagramm umfasst die Dienste des AWS Global Edge Network. 

![\[Diagramm, das die DDoS stabile Referenzarchitektur zeigt\]](http://docs.aws.amazon.com/de_de/whitepapers/latest/aws-best-practices-ddos-resiliency/images/ddos-resilient-ref-arch.png)


 Diese Architektur umfasst mehrere AWS Dienste, mit denen Sie die Widerstandsfähigkeit Ihrer Webanwendung gegen DDoS Angriffe verbessern können. Die folgende Tabelle enthält eine Zusammenfassung dieser Dienste und der Funktionen, die sie bieten können. AWS hat jeden Dienst mit einem Best-Practice-Indikator (BP1,BP2) versehen, um in diesem Dokument leichter nachschlagen zu können. In einem kommenden Abschnitt werden beispielsweise die von Amazon CloudFront und Global Accelerator bereitgestellten Funktionen erörtert, einschließlich des Best-Practice-IndikatorsBP1. 

 *Tabelle 2 — Zusammenfassung der bewährten Verfahren* 


|   |  AWS Edge | AWS-Region  | 
| --- | --- | --- | 
|   |  Amazon CloudFront (BP1) mit AWS WAF (BP2) verwenden  |  Verwenden von Global Accelerator (BP1)  |   Verwenden von Amazon Route 53 (BP3)   |   Elastic Load Balancing (BP6) mit AWS WAF (BP2) verwenden   |   Verwenden von Sicherheitsgruppen und Netzwerken ACLs in Amazon VPC (BP5)   |   Verwenden von [Amazon Elastic Compute Cloud (AmazonEC2) Auto Scaling](https://aws.amazon.com/pm/ec2/) (BP7)  | 
|   Abwehr von Angriffen auf Ebene 3 (z. B. UDP Reflection)   |  ✔  |  ✔  |   ✔   |   ✔   |   ✔   |   ✔   | 
|  Abwehr von Angriffen auf Ebene 4 (z. B. SYN Überschwemmung)  |  ✔  |  ✔  |   ✔   |   ✔   |   |   | 
|  Abwehr von Angriffen auf Ebene 6 (z. B.TLS)  |  ✔  |  ✔  |   ✔   |   ✔   |   |   | 
|  Reduzieren Sie die Angriffsfläche  |  ✔  |  ✔  |   ✔   |   ✔   |   ✔   |   | 
|  Skalieren Sie, um den Datenverkehr auf Anwendungsebene zu absorbieren  |  ✔  |  ✔  |   ✔   |   ✔   |   ✔   |   ✔   | 
|  Abwehr von Angriffen auf Schicht 7 (Anwendungsebene)  |  ✔  |  ✔(\$1)  |   ✔   |   ✔   |   ✔(\$1)   |   ✔(\$1)   | 
|   Geografische Isolierung und Verteilung von übermäßigem Datenverkehr und größeren Angriffen DDoS   |  ✔  |  ✔  |   ✔   |   |   |   | 

 ✔ (\$1): Bei Verwendung AWS WAF mit [Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/introduction.html)

 Eine weitere Möglichkeit, Ihre Bereitschaft zu verbessern, auf DDoS Angriffe zu reagieren und diese abzuwehren, ist das Abonnieren von. AWS Shield Advanced Zu den Vorteilen der Verwendung gehören AWS Shield Advanced : 
+ Rund um die Uhr verfügbarer, spezialisierter Support durch das [AWS Shield Response Team](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-srt-support.html) (AWS SRT) für Unterstützung bei der Abwehr von DDoS Angriffen, die sich auf die Verfügbarkeit von Anwendungen auswirken, einschließlich einer optionalen Funktion für proaktives Engagement 
+ Sensitive Erkennungsschwellenwerte, die den Datenverkehr früher in das DDoS Mitigation-System weiterleiten und time-to-mitigate Angriffe gegen Amazon EC2 (einschließlich Elastic Load Balancer) oder Network Load Balancer verbessern können, wenn sie mit einer Elastic IP-Adresse verwendet werden 
+ Maßgeschneiderte Layer-7-Erkennung auf der Grundlage von Basisdatenverkehrsmustern Ihrer Anwendung bei Verwendung mit AWS WAF 
+ Automatische DDoS Abwehr auf Anwendungsebene, bei der Shield Advanced auf erkannte DDoS Angriffe reagiert, indem es benutzerdefinierte AWS WAF Regeln erstellt, auswertet und einsetzt 
+ Zugriff AWS WAF auf ohne zusätzliche Kosten zur Abwehr von DDoS Angriffen auf Anwendungsebene (bei Verwendung mit Amazon CloudFront oder Application Load Balancer) 
+ Zentralisierte Verwaltung der Sicherheitsrichtlinien ohne zusätzliche [AWS Firewall Manager](https://aws.amazon.com/firewall-manager/)Kosten. 
+ Kostenschutz, der es Ihnen ermöglicht, eine begrenzte Rückerstattung der Kosten im Zusammenhang mit der Skalierung zu beantragen, die sich aus einem DDoS Angriff ergeben. 
+ Erweitertes Service Level Agreement, das speziell auf Kunden zugeschnitten AWS Shield Advanced ist. 
+ Schutzgruppen, die es Ihnen ermöglichen, Ressourcen zu bündeln, sodass Sie im Self-Service den Erkennungs- und Schutzbereich für Ihre Anwendung individuell anpassen können, indem mehrere Ressourcen als eine einzige Einheit behandelt werden. Informationen zu Schutzgruppen finden Sie unter [Shield](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-overview.html#ddos-advanced-protection-groups) [Advanced-Schutzgruppen.](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-overview.html#ddos-advanced-protection-groups) 
+ DDoSSichtbarkeit von Angriffen mithilfe der [AWS-Managementkonsole API CloudWatch ](https://aws.amazon.com/console/)[Metriken](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html) und [Alarme](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) von Amazon,, und 

 Dieser optionale DDoS Abhilfeservice trägt zum Schutz von Anwendungen bei, die auf beliebigen AWS-Region Geräten gehostet werden. Der Service ist weltweit für CloudFront Route 53 und Global Accelerator verfügbar. [Regional können Sie die IP-Adressen Application Load Balancer, Classic Load Balancer und Elastic schützen, sodass Sie [Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/introduction.html) (NLBs) oder Amazon-Instances schützen können. EC2](https://aws.amazon.com/ec2/) 

 [Eine vollständige Liste der AWS Shield Advanced Funktionen und weitere Informationen dazu finden Sie unter So funktioniert AWS Shield es. AWS Shield](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-overview.html) 

# Bewährte Methoden zur DDoS Schadensbegrenzung
<a name="best-practices-for-ddos-mitigation"></a>

 In den folgenden Abschnitten werden die empfohlenen bewährten Methoden zur DDoS Risikominderung ausführlicher beschrieben. Eine easy-to-implement Kurzanleitung zum Aufbau einer DDoS Abwehrschicht für statische oder dynamische Webanwendungen finden Sie unter [How to Help Protect Dynamic Web Applications Against DDoS Attacks](https://aws.amazon.com/blogs/security/how-to-protect-dynamic-web-applications-against-ddos-attacks-by-using-amazon-cloudfront-and-amazon-route-53/) [by Using Amazon CloudFront and Amazon Route 53.](https://aws.amazon.com/blogs/security/how-to-protect-dynamic-web-applications-against-ddos-attacks-by-using-amazon-cloudfront-and-amazon-route-53/) 

# Verteidigung auf Infrastrukturebene (BP1,BP3,BP6,BP7)
<a name="infrastructure-layer-defense-bp1-bp3-bp6-bp7"></a>

 In einer herkömmlichen Rechenzentrumsumgebung können Sie DDoS Angriffe auf die Infrastrukturebene abwehren, indem Sie Techniken wie die Überbereitstellung von Kapazitäten, den Einsatz von Systemen DDoS zur Risikominderung oder die Bereinigung des Datenverkehrs mithilfe von Abwehrdiensten einsetzen. DDoS Bei Aktivierung AWS werden die DDoS Abwehrfunktionen automatisch bereitgestellt. Sie können jedoch die DDoS Widerstandsfähigkeit Ihrer Anwendung optimieren, indem Sie die Architektur so wählen, dass diese Funktionen optimal genutzt werden und Sie auch bei übermäßigem Datenverkehr skalieren können. 

 Zu den wichtigsten Überlegungen zur Abwehr volumetrischer DDoS Angriffe gehören die Sicherstellung, dass genügend Transitkapazität und -vielfalt verfügbar sind, und der Schutz von AWS Ressourcen wie EC2 Amazon-Instances vor Angriffsverkehr. 

 Einige EC2 Amazon-Instance-Typen unterstützen Funktionen, mit denen große Datenverkehrsmengen einfacher verarbeitet werden können, z. B. Netzwerkbandbreitenschnittstellen mit bis zu 100 Gbit/s und erweiterte Netzwerke. Dies trägt dazu bei, eine Überlastung der Schnittstelle für den Datenverkehr zu verhindern, der die EC2 Amazon-Instance erreicht hat. Instances, die Enhanced Networking unterstützen, bieten im Vergleich zu herkömmlichen Implementierungen eine höhere Eingabe-/Ausgangsleistung (I/O), eine höhere Bandbreite und eine geringere CPU Auslastung. Dies verbessert die Fähigkeit der Instance, große Datenverkehrsmengen zu verarbeiten, und macht sie letztlich äußerst widerstandsfähig gegenüber der Last von Paketen pro Sekunde (pps). 

 Um dieses hohe Maß an Ausfallsicherheit zu ermöglichen, AWS empfiehlt es sich, [Amazon EC2 Dedicated EC2 Instances](https://aws.amazon.com/ec2/pricing/dedicated-instances/) oder Amazon-Instances mit höherem Netzwerkdurchsatz zu verwenden, die ein `N` "" Suffix haben und Enhanced Networking mit beispielsweise bis zu 100 Gbit/s Netzwerkbandbreite unterstützen, `c6gn.16xlarge` `c5n.18xlarge` und/oder Metal-Instances (wie`c5n.metal`). 

 Weitere Informationen zu EC2 Amazon-Instances, die 100-Gigabit-Netzwerkschnittstellen und erweiterte Netzwerke unterstützen, finden Sie unter [EC2Amazon-Instance-Typen](https://aws.amazon.com/ec2/instance-types/). 

 Das für Enhanced Networking erforderliche Modul und der erforderliche `enaSupport` Attributsatz sind in Amazon Linux 2 und den neuesten Versionen von Amazon Linux enthaltenAMI. Wenn Sie also eine Instance mit einer Hardware-Version für virtuelle Maschinen (HVM) von Amazon Linux auf einem unterstützten Instance-Typ starten, ist Enhanced Networking für Ihre Instance bereits aktiviert. Weitere Informationen finden Sie unter [Testen, ob Enhanced Networking aktiviert ist](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/enhanced-networking-ena.html#test-enhanced-networking-ena) und [Enhanced Networking unter Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/enhanced-networking.html). 

# Amazon EC2 mit Auto Scaling (BP7)
<a name="amazon-ec2-with-auto-scaling-bp7"></a>

 Eine weitere Möglichkeit, Angriffe sowohl auf die Infrastruktur als auch auf Anwendungsebene abzuwehren, besteht darin, in großem Maßstab zu operieren. Wenn Sie über Webanwendungen verfügen, können Sie Load Balancer verwenden, um den Traffic auf eine Reihe von EC2 Amazon-Instances zu verteilen, die überprovisioniert sind oder für die automatische Skalierung konfiguriert sind. Diese Instances können plötzliche Datenverkehrsspitzen bewältigen, die aus beliebigen Gründen auftreten, einschließlich eines Flash-Crowd-Angriffs oder eines Angriffs auf Anwendungsebene. DDoS Sie können [ CloudWatch Amazon-Alarme](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) so einrichten, dass Auto Scaling initiiert wird, um die Größe Ihrer EC2 Amazon-Flotte als Reaktion auf von Ihnen definierte EreignisseCPU, RAM wie Netzwerk-I/O und sogar benutzerdefinierte Metriken, automatisch zu skalieren. 

 Dieser Ansatz schützt die Anwendungsverfügbarkeit bei einem unerwarteten Anstieg des Anforderungsvolumens. Wenn Sie Amazon CloudFront, Application Load Balancer, Classic Load Balancer oder Network Load Balancer mit Ihrer Anwendung verwenden, erfolgt die TLS Verhandlung durch den Vertrieb (Amazon CloudFront) oder den Load Balancer. Diese Funktionen tragen dazu bei, Ihre Instances vor Angriffen zu schützen, indem sie auf legitime TLS Anfragen und missbräuchliche Angriffe skaliert werden. TLS 

 Weitere Informationen zur Verwendung von Amazon CloudWatch zum Aufrufen von Auto Scaling finden Sie unter [Überwachen von CloudWatch Amazon-Metriken für Ihre Auto Scaling Scaling-Gruppen und -Instances](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-instance-monitoring.html). 

 Amazon EC2 bietet eine anpassbare Rechenkapazität, sodass Sie bei sich ändernden Anforderungen schnell nach oben oder unten skalieren können. Sie können horizontal skalieren, indem Sie Ihrer Anwendung automatisch Instances hinzufügen, indem Sie [die Größe Ihrer Amazon EC2 Auto Scaling-Gruppe skalieren](https://docs.aws.amazon.com/autoscaling/ec2/userguide/scaling_plan.html), und Sie können vertikal skalieren, indem Sie größere EC2 Instance-Typen verwenden. 

Mithilfe von [Amazon RDS Proxy](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/rds-proxy.html) können Sie es Ihren Anwendungen ermöglichen, Datenbankverbindungen zu bündeln und gemeinsam zu nutzen, um ihre Skalierbarkeit zu verbessern und unvorhersehbare Anstiege im Datenbankverkehr zu bewältigen. Sie können auch die automatische Speicherskalierung für eine RDS Amazon-Datenbank-Instance aktivieren. Weitere Informationen finden Sie unter [Automatisches Kapazitätsmanagement mit Amazon RDS Storage Autoscaling](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_PIOPS.StorageTypes.html#USER_PIOPS.Autoscaling). 

# Elastic Load Balancing (BP6)
<a name="elastic-load-balancing-bp6"></a>

 Große DDoS Angriffe können die Kapazität einer einzelnen EC2 Amazon-Instance überfordern. Mit Elastic Load Balancing (ELB) können Sie das Risiko einer Überlastung Ihrer Anwendung reduzieren, indem Sie den Traffic auf viele Backend-Instances verteilen. Elastic Load Balancing kann automatisch skaliert werden, sodass Sie größere Volumen verwalten können, wenn Sie unerwartet zusätzlichen Traffic haben, z. B. aufgrund von Flash-Crowds oder DDoS Angriffen. Bei Anwendungen, die in einem Amazon erstellt wurdenVPC, sind je nach Anwendungstyp drei Typen ELBs zu berücksichtigen: Application Load Balancer (ALB), Network Load Balancer (NLB) und Classic Load Balancer (). CLB 

 Für Webanwendungen können Sie den Application Load Balancer verwenden, um den Datenverkehr auf der Grundlage von Inhalten weiterzuleiten und nur wohlgeformte Webanfragen anzunehmen. Application Load Balancer blockiert viele gängige DDoS Angriffe wie SYN Floods oder UDP Reflection-Angriffe und schützt so Ihre Anwendung vor dem Angriff. Application Load Balancer skaliert automatisch, um den zusätzlichen Datenverkehr zu absorbieren, wenn diese Art von Angriffen erkannt wird. Skalierungsaktivitäten aufgrund von Angriffen auf die Infrastrukturebene sind für AWS Kunden transparent und wirken sich nicht auf Ihre Rechnung aus. 

 Weitere Informationen zum Schutz von Webanwendungen mit Application Load Balancer finden Sie unter [Erste Schritte mit Application Load Balancers](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/application-load-balancer-getting-started.html). 

 Für HTTPS Anwendungen ohneHTTP//können Sie den Network Load Balancer verwenden, um den Datenverkehr mit extrem niedriger Latenz an Ziele (z. B. EC2 Amazon-Instances) weiterzuleiten. Eine wichtige Überlegung bei Network Load Balancer ist, dass TCP SYN jeglicher UDP Datenverkehr, der den Load Balancer auf einem gültigen Listener erreicht, an Ihre Ziele weitergeleitet und nicht absorbiert wird. Dies gilt jedoch nicht für TLS -listener, die die Verbindung beenden. TCP Für Network Load Balancer mit TCP Listenern empfehlen wir den Einsatz von Global Accelerator zum Schutz vor Überschwemmungen. SYN 

 Sie können Shield Advanced verwenden, um den DDoS Schutz für Elastic IP-Adressen zu konfigurieren. Wenn dem Network Load Balancer pro Availability Zone eine Elastic IP-Adresse zugewiesen wird, wendet Shield Advanced die entsprechenden DDoS Schutzmaßnahmen für den Network Load Balancer Balancer-Verkehr an. 

 Weitere Informationen zum Schutz TCP von UDP Anwendungen mit Network Load Balancer finden Sie unter [Erste Schritte mit Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancer-getting-started.html). 

**Anmerkung**  
 Je nach Konfiguration der Sicherheitsgruppe muss die Ressource, die die Sicherheit zur Gruppierung verwendet, die Verbindungsverfolgung verwenden, um Informationen über den Datenverkehr zu verfolgen. Dies kann die Fähigkeit des Load Balancers beeinträchtigen, neue Verbindungen zu verarbeiten, da die Anzahl der verfolgten Verbindungen begrenzt ist.    
 Eine Sicherheitsgruppenkonfiguration, die eine Eingangsregel enthält, die Datenverkehr von einer beliebigen IP-Adresse akzeptiert (z. B. `0.0.0.0/0` oder`::/0`), aber keine entsprechende Regel hat, um den Antwortverkehr zuzulassen, veranlasst die Sicherheitsgruppe, Verbindungsverfolgungsinformationen zu verwenden, um das Senden des Antwortverkehrs zu ermöglichen. Im Falle eines DDoS Angriffs kann die maximale Anzahl nachverfolgter Verbindungen ausgeschöpft sein. Um die DDoS Resilienz Ihres öffentlich zugänglichen Application Load Balancer oder Classic Load Balancer zu verbessern, stellen Sie sicher, dass die mit Ihrem Load Balancer verknüpfte Sicherheitsgruppe so konfiguriert ist, dass sie keine Verbindungsverfolgung (nicht verfolgte Verbindungen) verwendet, sodass der Verkehrsfluss keinen Beschränkungen für die Verbindungsverfolgung unterliegt.    
 Konfigurieren Sie dazu Ihre Sicherheitsgruppe mit einer Regel, die es der eingehenden Regel ermöglicht, TCP Datenflüsse von einer beliebigen IP-Adresse (`0.0.0.0/0`oder`::/0`) zu akzeptieren, und fügen Sie eine entsprechende Regel in ausgehender Richtung hinzu, die es dieser Ressource ermöglicht, den Antwortverkehr zu senden (ausgehenden Bereich für jede IP-Adresse zulassen `0.0.0.0/0` oder`::/0`) für alle Ports (0-65535), sodass der Antwortverkehr auf der Grundlage der Sicherheitsgruppenregel und nicht auf der Grundlage von Tracking-Informationen zugelassen wird. Mit dieser Konfiguration unterliegen Classic und Application Load Balancer nicht den Grenzwerten für die vollständige Verbindungsverfolgung, die sich auf den Aufbau neuer Verbindungen zu seinen Load Balancer-Knoten auswirken können, und ermöglichen eine Skalierung auf der Grundlage der Zunahme des Datenverkehrs im Falle eines DDoS Angriffs. Weitere Informationen zu nicht verfolgten Verbindungen finden Sie unter: [Verbindungsverfolgung von Sicherheitsgruppen: Unverfolgte](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html#untracked-connections) Verbindungen.   
 Das Vermeiden der Verbindungsverfolgung von Sicherheitsgruppen hilft nur in Fällen, in denen der DDoS Datenverkehr von einer Quelle stammt, die von der Sicherheitsgruppe zugelassen ist. DDoS Datenverkehr von Quellen, die in der Sicherheitsgruppe nicht zulässig sind, hat keine Auswirkung auf die Verbindungsverfolgung. In diesen Fällen ist es nicht erforderlich, Ihre Sicherheitsgruppen neu zu konfigurieren, um die Verbindungsverfolgung zu vermeiden. Dies ist beispielsweise der Fall, wenn Ihre Sicherheitsgruppen-Zulassungsliste aus IP-Bereichen besteht, denen Sie ein hohes Maß an Vertrauen entgegenbringen, z. B. einer Unternehmensfirewall oder einem vertrauenswürdigen Ausgang oderVPN. IPs CDNs 

# Verwenden Sie AWS Edge-Standorte für die Skalierung (BP1,) BP3
<a name="use-aws-edge-locations-for-scale-bp1-bp3"></a>

 Der Zugriff auf hoch skalierte, vielfältige Internetverbindungen kann Ihre Fähigkeit, Latenz und Durchsatz für Benutzer zu optimieren, DDoS Angriffe abzuwehren, Fehler zu isolieren und gleichzeitig die Auswirkungen auf die Verfügbarkeit Ihrer Anwendung zu minimieren, erheblich verbessern. AWS Edge-Standorte bieten eine zusätzliche Ebene der Netzwerkinfrastruktur, die diese Vorteile für jede Webanwendung bietet, die Amazon CloudFront, Global Accelerator und Amazon Route 53 verwendet. Mit diesen Services können Sie Ihre Anwendungen, von AWS-Regionen denen aus Sie laufen, umfassend am Edge schützen. 

# Bereitstellung von Webanwendungen am Edge () BP1
<a name="web-application-delivery-at-the-edge-bp1"></a>

 Amazon CloudFront ist ein Service, mit dem Sie Ihre gesamte Website einschließlich statischer, dynamischer, gestreamter und interaktiver Inhalte bereitstellen können. Dauerhafte Verbindungen und variable Einstellungen time-to-live (TTL) können verwendet werden, um Traffic von Ihrem Ursprung abzulagern, auch wenn Sie keine Inhalte bereitstellen, die zwischengespeichert werden können. Die Verwendung dieser CloudFront Funktionen reduziert die Anzahl der Anfragen und TCP Verbindungen zurück zu Ihrem Ursprung und trägt so dazu bei, Ihre Webanwendung vor Überschwemmungen zu schützen. HTTP 

 CloudFront akzeptiert nur wohlgeformte Verbindungen, wodurch verhindert wird, dass viele gängige DDoS Angriffe wie SYN Floods und UDP Reflection-Angriffe Ihren Ursprung erreichen. DDoSAngriffe werden außerdem geografisch in der Nähe der Quelle isoliert, wodurch verhindert wird, dass sich der Datenverkehr auf andere Standorte auswirkt. Diese Funktionen können Ihre Fähigkeit, Benutzern auch bei großen DDoS Angriffen weiterhin Traffic bereitzustellen, erheblich verbessern. Sie können CloudFront sie verwenden, um eine Quelle im AWS oder an anderer Stelle im Internet zu schützen. 

 Wenn Sie [Amazon Simple Storage Service](https://aws.amazon.com/s3/) (Amazon S3) verwenden, um statische Inhalte im Internet bereitzustellen, AWS empfiehlt Ihnen Amazon CloudFront zum Schutz Ihres Buckets zu verwenden, was folgende Vorteile bietet: 
+  Schränkt den Zugriff auf den Amazon S3 S3-Bucket ein, sodass er nicht öffentlich zugänglich ist. 
+  Stellt sicher, dass Zuschauer (Benutzer) nur über die angegebene CloudFront Distribution auf die Inhalte im Bucket zugreifen können. Dadurch wird verhindert, dass sie direkt aus dem Bucket oder über eine unbeabsichtigte Verteilung auf die Inhalte zugreifen können. CloudFront 

 Um dies zu erreichen, konfigurieren Sie CloudFront es so, dass authentifizierte Anfragen an Amazon S3 gesendet werden, und konfigurieren Sie Amazon S3 so, dass nur der Zugriff auf authentifizierte Anfragen von möglich ist. CloudFront CloudFront bietet zwei Möglichkeiten, authentifizierte Anfragen an einen Amazon S3 S3-Ursprung zu senden: Origin Access Control (OAC) und Origin Access Identity (OAI). Wir empfehlen die VerwendungOAC, da sie Folgendes unterstützt: 
+  Alle Amazon S3 S3-Buckets insgesamt AWS-Regionen, einschließlich der Opt-in-Regionen, die nach Dezember 2022 eingeführt wurden 
+  [Serverseitige Amazon S3 S3-Verschlüsselung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html) mit AWS KMS (SSE-KMS) 
+  Dynamische Anforderungen (`PUT` und `DELETE`) an Amazon S3 

 Weitere Informationen zu OAC und OAI finden Sie unter [Beschränken des Zugriffs auf Amazon S3 S3-Herkunft](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html). 

 Weitere Informationen zum Schutz und zur Optimierung der Leistung von Webanwendungen mit Amazon CloudFront finden Sie unter [Erste Schritte mit Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/GettingStarted.html). 

# Schützen Sie Netzwerkverkehr, der weiter von Ihrem Ursprung entfernt ist, mit AWS Global Accelerator (BP1)
<a name="protect-network-traffic-further-from-your-origin-using-aws-global-accelerator-bp1"></a>

 Global Accelerator ist ein Netzwerkdienst, der die Verfügbarkeit und Leistung des Benutzerverkehrs um bis zu 60% verbessert. Dies wird erreicht, indem eingehender Datenverkehr an dem Edge-Standort, der Ihren Benutzern am nächsten ist, eingespeist und über die AWS globale Netzwerkinfrastruktur zu Ihrer Anwendung weitergeleitet wird, unabhängig davon, ob er einzeln oder mehrfach AWS-Regionen ausgeführt wird. 

 Global Accelerator leitet TCP den UDP Datenverkehr auf der Grundlage der Leistung in der Nähe des Benutzers AWS-Region zum optimalen Endpunkt weiter. Wenn eine Anwendung ausfällt, bietet Global Accelerator innerhalb von 30 Sekunden ein Failover zum nächstbesten Endpunkt. Global Accelerator nutzt die enorme Kapazität des AWS globalen Netzwerks und die Integrationen mit Shield, wie z. B. eine statusfreie SYN Proxyfunktion, die neue Verbindungsversuche abwehrt und nur legitimen Endbenutzern dient, um Anwendungen zu schützen. 

 Sie können eine DDoS robuste Architektur implementieren, die viele der gleichen Vorteile bietet wie die Best Practices für die Bereitstellung von Webanwendungen am Edge, auch wenn Ihre Anwendung Protokolle verwendet, die nicht unterstützt werden, CloudFront oder wenn Sie eine Webanwendung betreiben, die globale statische IP-Adressen erfordert. 

 Beispielsweise benötigen Sie möglicherweise IP-Adressen, die Ihre Endbenutzer zur Zulassungsliste in ihren Firewalls hinzufügen können und die nicht von anderen AWS Kunden verwendet werden. In diesen Szenarien können Sie Global Accelerator verwenden, um Webanwendungen zu schützen, die auf dem Application Load Balancer ausgeführt werden, und in Verbindung damit auch AWS WAF Fluten von Anfragen auf Webanwendungsebene zu erkennen und zu verhindern. 

 Weitere Informationen zum Schutz und zur Optimierung der Leistung des Netzwerkverkehrs mithilfe von Global Accelerator finden Sie unter [Erste Schritte mit Global](https://docs.aws.amazon.com/global-accelerator/latest/dg/getting-started.html) Accelerator. 

# Auflösung von Domainnamen am Rand (BP3)
<a name="domain-name-resolution-at-the-edge-bp3"></a>

**Topics**
+ [Für die DNS Verfügbarkeit wird Route 53 verwendet](using-route53-for-dns-availability.md)
+ [Konfiguration von Route 53 zum Kostenschutz vor `NXDOMAIN` Angriffen](configuring-route53-for-cost-protection-from-nxdomain-attacks.md)

# Für die DNS Verfügbarkeit wird Route 53 verwendet
<a name="using-route53-for-dns-availability"></a>

 Amazon Route 53 ist ein hochverfügbarer und skalierbarer Domain Name System (DNS) -Service, mit dem Sie Traffic an Ihre Webanwendung weiterleiten können. Es umfasst erweiterte Funktionen wie Verkehrsfluss, Zustandsprüfungen und Überwachung, latenzbasiertes Routing und Geo. DNS Mit diesen erweiterten Funktionen können Sie steuern, wie der Dienst auf DNS Anfragen reagiert, um die Leistung Ihrer Webanwendung zu verbessern und Seitenausfälle zu vermeiden. Es ist der einzige AWS Dienst, der eine hundertprozentige Verfügbarkeit SLA der Datenebene bietet. 

 Amazon Route 53 verwendet Techniken wie [Shuffle Sharding](https://aws.amazon.com/builders-library/workload-isolation-using-shuffle-sharding/) und [Anycast Striping](https://aws.amazon.com/blogs/architecture/a-case-study-in-global-fault-isolation/), mit denen Benutzer auf Ihre Anwendung zugreifen können, auch wenn der DNS Service Ziel eines Angriffs ist. DDoS 

 Beim Shuffle-Sharding entspricht jeder Nameserver in Ihrem Delegierungssatz einem eindeutigen Satz von Edge-Standorten und Internetpfaden. Dies sorgt für eine höhere Fehlertoleranz und minimiert Überschneidungen zwischen Kunden. Wenn ein Nameserver in der Delegierungsgruppe nicht verfügbar ist, können Benutzer es erneut versuchen und eine Antwort von einem anderen Nameserver an einem anderen Edge-Standort erhalten. 

 Mit Anycast-Striping kann jede DNS Anfrage vom optimalen Standort bedient werden, wodurch die Netzwerklast verteilt und die Latenz reduziert wird. DNS Dies ermöglicht eine schnellere Antwort für Benutzer. Darüber hinaus kann Amazon Route 53 Anomalien in der Quelle und dem Volumen von DNS Abfragen erkennen und Anfragen von Benutzern priorisieren, von denen bekannt ist, dass sie zuverlässig sind. 

 Weitere Informationen zur Verwendung von Amazon Route 53 zur Weiterleitung von Benutzern zu Ihrer Anwendung finden Sie unter [Erste Schritte mit Amazon Route 53.](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/getting-started.html) 

# Konfiguration von Route 53 zum Kostenschutz vor `NXDOMAIN` Angriffen
<a name="configuring-route53-for-cost-protection-from-nxdomain-attacks"></a>

 `NXDOMAIN`Angriffe treten auf, wenn Angreifer eine Flut von Anfragen an eine Hosting-Zone für nicht existierende Subdomänen senden, oft über bekannte „gute“ Resolver. Der Zweck dieser Angriffe kann darin bestehen, den Cache des rekursiven Resolvers und/oder die Verfügbarkeit des autoritativen Resolvers zu beeinträchtigen, oder es kann sich um eine Form der DNS Erkundung handeln, um Datensätze in gehosteten Zonen zu finden. Durch die Verwendung von Route 53 für Ihren autoritativen Resolver wird das Risiko einer Beeinträchtigung der Verfügbarkeit/Leistung gemindert. Dies kann jedoch zu einer erheblichen Erhöhung der monatlichen Kosten für Route 53 führen. Um sich vor Kostensteigerungen zu schützen, sollten Sie die [Preisgestaltung für Route 53](https://aws.amazon.com/route53/pricing/) nutzen, bei der DNS Abfragen kostenlos sind, wenn beide der folgenden Bedingungen zutreffen: 
+  Der Domain- oder Subdomainname (`example.com`oder`store.example.com`) und der Datensatztyp (`A`) in der Abfrage stimmen mit einem Aliaseintrag überein. 
+  Das Alias-Ziel ist eine AWS Ressource, bei der es sich nicht um einen anderen Route 53-Datensatz handelt. 

 Erstellen Sie einen Platzhaltereintrag, z. B. `*.example.com` mit einem Typ `A` (Alias), der auf eine AWS Ressource wie eine EC2 Instance, Elastic Load Balancer oder CloudFront Distribution verweist, sodass bei einer Abfrage nach die IP der Ressource zurückgegeben wird und Ihnen die Abfrage nicht in Rechnung gestellt wird. `qwerty12345.example.com` 

# Verteidigung auf Anwendungsebene (BP1,) BP2
<a name="application-layer-defense-bp1-bp2"></a>

 Viele der bisher in diesem paper erörterten Techniken sind wirksam, um die Auswirkungen von DDoS Angriffen auf die Infrastrukturebene auf die Verfügbarkeit Ihrer Anwendung zu mindern. Um sich auch vor Angriffen auf Anwendungsebene zu schützen, müssen Sie eine Architektur implementieren, die es Ihnen ermöglicht, bösartige Anfragen gezielt zu erkennen, zu skalieren, zu absorbieren und zu blockieren. Dies ist ein wichtiger Aspekt, da netzwerkbasierte DDoS Abwehrsysteme bei der Abwehr komplexer Angriffe auf Anwendungsebene im Allgemeinen nicht wirksam sind. 

# Erkennen und filtern Sie bösartige Webanfragen (,) BP1 BP2
<a name="detect-and-filter-malicious-web-requests-bp1-bp2"></a>

 Wenn Ihre Anwendung läuft AWS, können Sie Amazon CloudFront (und seine HTTP Caching-Funktion) und Shield Advanced Automatic Application Layer-Schutz nutzen AWS WAF, um zu verhindern, dass bei DDoS Angriffen auf Anwendungsebene unnötige Anfragen Ihren Ursprung erreichen. 

# Amazon CloudFront
<a name="cloudfront"></a>

 Amazon CloudFront kann dazu beitragen, die Serverlast zu reduzieren, indem verhindert wird, dass Datenverkehr, der nicht aus dem Internet stammt, Ihren Ursprung erreicht. Um eine Anfrage an eine CloudFront Anwendung zu senden, muss die Verbindung mit einer gültigen IP-Adresse über einen abgeschlossenen TCP Handshake hergestellt werden, der nicht gefälscht werden kann. CloudFront Kann außerdem Verbindungen vor langsam lesenden oder langsam schreibenden Angreifern (z. B. [Slowloris](https://en.wikipedia.org/wiki/Slowloris_(computer_security))) automatisch schließen. 

## CDN-Caching
<a name="cdn-caching"></a>

 CloudFront ermöglicht es Ihnen, sowohl dynamische als auch statische Inhalte von AWS Edge-Standorten aus bereitzustellen. Indem Sie Proxyinhalte aus dem CDN Cache bereitstellen, verhindern Sie, dass Anfragen für die Dauer des Cachings von einem bestimmten Edge-Cache-Knoten aus Ihren Ursprung erreichen. TTL In Verbindung mit dem [Kollabieren von Anfragen](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/RequestAndResponseBehaviorCustomOrigin.html#request-custom-traffic-spikes) für abgelaufene, aber zwischenspeicherbare Inhalte TTL bedeuten selbst sehr kurze Anfragen, dass während einer Flut von Anfragen für diesen Inhalt nur eine geringe Anzahl von Anfragen Ihren Ursprung erreicht. Darüber hinaus kann die Aktivierung von Funktionen wie [CloudFront Origin Shield](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/origin-shield.html) dazu beitragen, die Belastung Ihres Origins weiter zu reduzieren. Alles, was Sie tun können, um [Ihre Cache-Trefferquote zu verbessern](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cache-hit-ratio.html), kann den Unterschied zwischen einem effektiven und einem nicht wirksamen Request-Flood-Angriff ausmachen. 

# AWS WAF
<a name="aws-waf"></a>

 Mithilfe AWS WAF von können Sie Web-Zugriffskontrolllisten (WebACLs) für Ihre globalen CloudFront Distributionen oder regionalen Ressourcen konfigurieren, um Anfragen auf der Grundlage von Anforderungssignaturen zu filtern, zu überwachen und zu blockieren. Um zu bestimmen, ob Anfragen zugelassen oder blockiert werden sollen, können Sie Faktoren wie die IP-Adresse oder das Herkunftsland, bestimmte Zeichenfolgen oder Muster in der Anfrage, die Größe bestimmter Teile der Anfrage und das Vorhandensein von bösartigem SQL Code oder Skripting berücksichtigen. Sie können auch CAPTCHA Puzzles und automatische Client-Sitzungen gegen Anfragen ausführen. 

 AWS WAF Beides ermöglicht es dir CloudFront außerdem, geografische Einschränkungen festzulegen, um Anfragen aus ausgewählten Ländern zu blockieren oder zuzulassen. Dies kann dazu beitragen, Angriffe von geografischen Standorten aus zu blockieren oder ihre Geschwindigkeit zu begrenzen, von denen Sie nicht erwarten, dass sie Benutzern zugutekommen. Wenn detaillierte Anweisungen für geografische Vergleichsregeln enthalten sind AWS WAF, können Sie den Zugriff bis auf Regionsebene kontrollieren. 

 Mithilfe von [Scope-down-Anweisungen](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-scope-down-statements.html) können Sie den Umfang der Anfragen einschränken, die von der Regel ausgewertet werden, um Kosten zu sparen. Außerdem können Sie [Webanfragen mit „Labels“ versehen](https://docs.aws.amazon.com/waf/latest/developerguide/waf-labels.html), damit eine Regel, die der Anfrage entspricht, die Vergleichsergebnisse an Regeln weitergeben kann, die später im selben Web ausgewertet werden. ACL Wählen Sie diese Option, um dieselbe Logik für mehrere Regeln wiederzuverwenden. 

 Sie können auch eine vollständige benutzerdefinierte Antwort mit Antwortcode, Headern und Text definieren. 

 Um böswillige Anfragen zu identifizieren, überprüfen Sie Ihre Webserverprotokolle oder verwenden Sie AWS WAF die Protokollierung und Anforderungssampling. Wenn Sie die AWS WAF Protokollierung aktivieren, erhalten Sie detaillierte Informationen über den vom Web analysierten Datenverkehr. ACL AWS WAF unterstützt die Protokollfilterung, sodass Sie angeben können, welche Webanfragen protokolliert werden und welche Anfragen nach der Überprüfung aus dem Protokoll gelöscht werden. 

 Zu den in den Protokollen aufgezeichneten Informationen gehören die Uhrzeit, zu der die Anfrage von Ihrer AWS Ressource AWS WAF eingegangen ist, detaillierte Informationen zu der Anfrage und die entsprechende Aktion für jede angeforderte Regel. 

 Stichprobenanfragen enthalten Details zu Anfragen innerhalb der letzten drei Stunden, die einer Ihrer AWS WAF Regeln entsprachen. Sie können diese Informationen verwenden, um potenziell bösartige Datenverkehrssignaturen zu identifizieren und eine neue Regel zu erstellen, um diese Anfragen abzulehnen. Wenn Sie eine Reihe von Anfragen mit einer zufälligen Abfragezeichenfolge sehen, stellen Sie sicher, dass Sie nur die Abfragezeichenfolgenparameter zulassen, die für den Cache Ihrer Anwendung relevant sind. Diese Technik ist hilfreich, um einen Cache-Busting-Angriff gegen Ihren Ursprung abzuwehren. 

# AWS WAF — Ratenbasierte Regeln
<a name="aws-waf-rate-based-rules"></a>

 AWS empfiehlt dringend, sich vor einer Flut von HTTP Anfragen zu schützen, indem die ratenbasierten Regeln verwendet werden AWS WAF , um IP-Adressen böswilliger Akteure automatisch zu blockieren, wenn die Anzahl der Anfragen, die in einem 5-minütigen gleitenden Fenster eingehen, einen von Ihnen definierten Schwellenwert überschreitet. IP-Adressen von Clients, bei denen ein Verstoß vorliegt, erhalten eine verbotene 403-Antwort (oder eine konfigurierte Blockfehlerantwort) und bleiben blockiert, bis die Anforderungsraten unter den Schwellenwert fallen. 

 Es wird empfohlen, ratenbasierte Regeln zu kombinieren, um einen besseren Schutz zu bieten, sodass Sie: 
+  Eine pauschale ratenbasierte Regel zum Schutz Ihrer Anwendung vor großen Fluten. HTTP 
+  Eine oder mehrere ratenbasierte Regeln zum Schutz bestimmter URIs Regeln zu restriktiveren Tarifen als die pauschale ratenbasierte Regel. 

 Sie können beispielsweise eine pauschale, ratenbasierte Regel (keine Angabe zum Umfang) mit einer Obergrenze von 500 Anfragen innerhalb von 5 Minuten wählen und dann mithilfe von Scope-down-Aussagen eine oder mehrere der folgenden ratenbasierten Regeln mit niedrigeren Grenzwerten als 500 (bis zu 100 Anfragen innerhalb von 5 Minuten) erstellen: 
+  Schützen Sie Ihre **Webseiten** mit einer Scopedown-Anweisung wie "`if NOT uri_path contains '.'`", sodass Anfragen nach Ressourcen ohne Dateierweiterung weiter geschützt sind. Dadurch wird auch Ihre Homepage (`/`) geschützt, die häufig als URI Zielpfad angesehen wird. 
+  Schützen Sie **dynamische Endpunkte** mit einer Scopedown-Anweisung wie "“ `if method exactly matches 'post' (convert lowercase)` 
+  Schützen Sie **umfangreiche Anfragen**, die Ihre Datenbank erreichen oder ein Einmalkennwort (OTP) aufrufen, mit einem Scopedown wie "“ `if uri_path starts_with '/login' OR uri_path starts_with '/signup' OR uri_path starts_with '/forgotpassword'`

 Ratenbasierte Lösungen im Blockmodus bilden den Eckpfeiler Ihrer defense-in-depth WAF Konfiguration zum Schutz vor einer Flut von Anfragen und sind Voraussetzung für die Genehmigung von AWS Shield Advanced Kostenschutzanfragen. In den folgenden Abschnitten werden wir weitere defense-in-depth WAF Konfigurationen untersuchen. 

# AWS WAF — IP-Reputation
<a name="aws-waf-ip-reputation"></a>

 Um Angriffe zu verhindern, die auf der Reputation von IP-Adressen basieren, können Sie Regeln mithilfe von IP-Abgleich erstellen oder [verwaltete Regeln](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-list.html) für verwenden AWS WAF. 

 Die [Regelgruppe der IP-Reputationsliste von Amazon](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-ip-rep.html#aws-managed-rule-groups-ip-rep-amazon) umfasst Regeln, die auf den internen Bedrohungsinformationen von Amazon basieren. Diese Regeln suchen nach IP-Adressen, bei denen es sich um Bots handelt, die AWS Ressourcen ausspionieren oder aktiv an Aktivitäten teilnehmen. DDoS Es wurde beobachtet, dass die `AWSManagedIPDDoSList` Regel mehr als 90% der Fluten bösartiger Anfragen blockiert. 

 Die [Regelgruppe „Liste anonymer IP-Adressen](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-ip-rep.html#aws-managed-rule-groups-ip-rep-anonymous)“ enthält Regeln zum Blockieren von Anfragen von Diensten, die die Verschleierung der Identität von Zuschauern ermöglichen. Dazu gehören Anfragen von ProxysVPNs, Tor-Knoten und Cloud-Plattformen (ausgenommen). AWS

 Darüber hinaus können Sie IP-Reputationslisten von Drittanbietern verwenden, indem Sie die [IP-Listen-Parser-Komponente](https://docs.aws.amazon.com/solutions/latest/security-automations-for-aws-waf/component-details.html#ip-lists-parser) der [Security Automations](https://docs.aws.amazon.com/solutions/latest/security-automations-for-aws-waf/component-details.html) for Solution verwenden. AWS WAF

# AWS WAF - Intelligente Abwehr von Bedrohungen
<a name="aws-waf-intelligent-threat-mitigation"></a>

 Botnetze stellen eine ernste Sicherheitsbedrohung dar und werden häufig für illegale oder schädliche Aktivitäten wie das Versenden von Spam, das Stehlen vertraulicher Daten, das Auslösen von Ransomware-Angriffen, das Begehen von Werbebetrug durch betrügerische Klicks oder das Starten von Distributed () -Angriffen eingesetzt. denial-of-service DDoS Verwenden Sie die verwaltete Regelgruppe Bot [Control, um AWS WAF Bot-Angriffe](https://docs.aws.amazon.com/waf/latest/developerguide/waf-bot-control.html) zu verhindern. Diese Regelgruppe bietet eine grundlegende, „allgemeine“ Schutzstufe, mit der selbstidentifizierende Bots gekennzeichnet werden, allgemein wünschenswerte Bots verifiziert und Bot-Signaturen mit hoher Zuverlässigkeit erkannt werden. Außerdem bietet sie eine „gezielte“ Schutzstufe, die auch fortgeschrittene Bots erkennt, die sich nicht selbst identifizieren. 

Gezielte Schutzmaßnahmen verwenden fortschrittliche Erkennungstechniken wie Browserabfragen, Fingerabdrücke und Verhaltensheuristiken, um bösartigen Bot-Traffic zu identifizieren, und wenden dann Gegenmaßnahmen wie Ratenbegrenzung und Challenge-Regelaktionen an. CAPTCHA Targeted bietet auch Optionen zur Ratenbegrenzung, um menschenähnliche Zugriffsmuster durchzusetzen und dynamische Ratenbegrenzungen mithilfe von Anforderungstoken anzuwenden. Weitere Informationen finden Sie unter [Regelgruppe AWS WAF Bot Control](https://docs.aws.amazon.com/waf/latest/developerguide/waf-bot-control.html). Um böswillige Übernahmeversuche auf der Anmeldeseite Ihrer Anwendung zu erkennen und zu verwalten, können Sie die Regelgruppe AWS WAF Fraud Control Account Takeover Prevention (ATP) verwenden. Zu diesem Zweck untersucht die Regelgruppe Anmeldeversuche, die Kunden an den Anmeldeendpunkt Ihrer Anwendung senden, und untersucht auch die Antworten Ihrer Anwendung auf Anmeldeversuche, um die Erfolgs- und Fehlschlagrate nachzuverfolgen.

 Betrug bei der Kontoerstellung ist eine illegale Online-Aktivität, bei der ein Angreifer versucht, ein oder mehrere gefälschte Konten zu erstellen. Angreifer verwenden gefälschte Konten für betrügerische Aktivitäten wie den Missbrauch von Werbe- und Anmeldeboni, das Ausgeben einer anderen Person und für Cyberangriffe wie Phishing. Das Vorhandensein gefälschter Konten kann sich negativ auf Ihr Unternehmen auswirken, da es Ihren Ruf bei Kunden schädigt und der Gefahr von Finanzbetrug ausgesetzt ist. 

 Sie können Betrugsversuche bei der Kontoerstellung überwachen und kontrollieren, indem Sie die Funktion AWS WAF Fraud Control zur Betrugsprävention bei der Kontoerstellung (ACFP) implementieren. AWS WAF bietet diese Funktion in der Von AWS verwaltete Regeln Regelgruppe `AWS ManagedRulesACFPRuleSet` mit integrierter Begleitanwendung anSDKs. 

 Weitere Informationen zu diesen Schutzmaßnahmen finden Sie unter [https://docs.aws.amazon.com/waf/latest/developerguide/waf-managed-protections.html](https://docs.aws.amazon.com/waf/latest/developerguide/waf-managed-protections.html). 

# Automatisches Abmildern von Ereignissen auf Anwendungsebene DDoS (,,) BP1 BP2 BP6
<a name="automatically-mitigate-application-layer-ddos-events-bp1-bp2-bp6"></a>

 Wenn Sie ein Abonnement haben AWS Shield Advanced, können Sie die [automatische [DDoSAbwehr auf Anwendungsebene](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-automatic-app-layer-response.html) von Shield Advanced](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-automatic-app-layer-response.html) aktivieren. Diese Funktion erstellt, bewertet und implementiert automatisch AWS WAF Regeln zur Abwehr von DDoS Layer-7-Ereignissen in Ihrem Namen. 

 AWS Shield Advanced richtet eine Datenverkehrsbasis für jede geschützte Ressource ein, die einem Web zugeordnet ist. WAF ACL Datenverkehr, der erheblich von der festgelegten Ausgangsbasis abweicht, wird als DDoS potenzielles Ereignis gekennzeichnet. Nachdem ein Ereignis erkannt wurde, wird AWS Shield Advanced versucht, eine Signatur der Webanfragen zu identifizieren, die das Ereignis ausmachen. Wenn eine Signatur identifiziert wird, werden AWS WAF Regeln erstellt, um den Datenverkehr mit dieser Signatur einzudämmen. 

 Sobald Regeln anhand der historischen Baseline bewertet und als sicher eingestuft wurden, werden sie der von Shield verwalteten Regelgruppe hinzugefügt, und Sie können wählen, ob die Regeln im Zähl- oder Blockmodus bereitgestellt werden sollen. Shield Advanced entfernt automatisch AWS WAF Regeln, nachdem festgestellt wurde, dass ein Ereignis vollständig abgeklungen ist. 

# Engage SRT (nur für Shield Advanced-Abonnenten)
<a name="engage-srt-shield-advanced-subscribers-only"></a>

 Wenn Sie Shield Advanced abonniert haben, können Sie den außerdem beauftragen, Regeln AWS SRT zur Abwehr eines Angriffs zu erstellen, der die Verfügbarkeit Ihrer Anwendung beeinträchtigt. Sie können AWS SRT eingeschränkten Zugriff auf Ihr Konto gewähren und. AWS Shield Advanced AWS WAF APIs AWS SRTgreift nur mit Ihrer ausdrücklichen Genehmigung auf diese APIs zu, um Abhilfemaßnahmen auf Ihrem Konto vorzunehmen. Weitere Informationen finden Sie im [Support](support.md) Abschnitt dieses Dokuments. 

 Sie können AWS Firewall Manager es verwenden, um Sicherheitsregeln wie AWS Shield Advanced Schutzmaßnahmen und Regeln in Ihrer gesamten Organisation zentral zu konfigurieren und AWS WAF zu verwalten. Ihr AWS Organizations Verwaltungskonto kann ein Administratorkonto festlegen, das berechtigt ist, Firewall Manager Manager-Richtlinien zu erstellen. Mit diesen Richtlinien können Sie Kriterien wie Ressourcentyp und Tags definieren, die bestimmen, wo Regeln angewendet werden. Dies ist nützlich, wenn Sie mehrere Konten haben und Ihren Schutz standardisieren möchten. 

 Weitere Informationen über: 
+  Von AWS verwaltete Regeln für AWS WAF, siehe [Von AWS verwaltete Regeln für AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups.html). 
+  Informationen zur Beschränkung des Zugriffs auf Ihre CloudFront Distribution mithilfe geografischer Beschränkungen finden Sie unter [Beschränkung der geografischen Verbreitung Ihrer Inhalte](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/georestrictions.html). 
+  Informationen zur Verwendung AWS WAF finden Sie unter: 
  +  [Erste Schritte mit AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html) 
  +  [Protokollierung von ACL Web-Traffic-Informationen](https://docs.aws.amazon.com/waf/latest/developerguide/logging.html) 
  +  [Ein Beispiel für Webanfragen anzeigen](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-testing.html#web-acl-testing-view-sample) 
+  Konfiguration ratenbasierter Regeln finden Sie unter [Schützen von Websites und Diensten mithilfe von ratenbasierten](https://aws.amazon.com/blogs/aws/protect-web-sites-services-using-rate-based-rules-for-aws-waf/) Regeln für. AWS WAF
+  Informationen zur Verwaltung der Bereitstellung von Regeln auf Ihren AWS Ressourcen mit Firewall Manager finden Sie unter: 
  +  [Erste Schritte mit Firewall Manager AWS WAF Manager-Richtlinien](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started-fms.html). 
  +  [Erste Schritte mit den erweiterten Richtlinien von Firewall Manager Shield](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started-fms-shield.html).