AWS WAF Grupo de reglas de prevención de denegación de servicio (DDoS) distribuida - AWS WAF, AWS Firewall Manager AWS Shield Advanced, y director AWS Shield de seguridad de red
Uso de este grupo de reglasEtiquetas agregadas por este grupo de reglasLista de reglas

Presentamos una nueva experiencia de consola para AWS WAF

Ahora puede usar la experiencia actualizada para acceder a las AWS WAF funciones desde cualquier parte de la consola. Para obtener más información, consulte Trabajar con la consola.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS WAF Grupo de reglas de prevención de denegación de servicio (DDoS) distribuida

En esta sección se describe el grupo de reglas AWS WAF gestionadas para la protección contra los ataques distribuidos de denegación de servicio (DDoS).

VendorName:AWS, Nombre:AWSManagedRulesAntiDDoSRuleSet, WCU: 50

nota

Esta documentación cubre la versión estática más reciente de este grupo de reglas administradas. Reportamos los cambios de versión en el registro de cambios en AWS Registro de cambios de reglas gestionadas. Para obtener información sobre otras versiones, utilice el comando DescribeManagedRuleGroupAPI.

La información que publicamos sobre las reglas de los grupos de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.

Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el Centro de AWS Support.

El grupo de reglas gestionadas DDo Anti-S proporciona reglas que detectan y gestionan las solicitudes que participan o que es probable que participen en ataques DDo tipo S. Además, el grupo de reglas etiqueta todas las solicitudes que evalúa durante un evento probable.

Consideraciones para utilizar este grupo de reglas

Este grupo de reglas proporciona mitigaciones flexibles y estrictas para las solicitudes web que llegan a recursos que están siendo atacados por el tipo DDo S. Para detectar distintos niveles de amenaza, puede ajustar la sensibilidad de ambos tipos de mitigación a niveles de sospecha altos, medios o bajos.

  • Mitigación suave: el grupo de reglas puede enviar desafíos de navegador silenciosos en respuesta a solicitudes que puedan lidiar con los intersticios del desafío. Para obtener información acerca de los requisitos para ejecutar el desafío, consulte Comportamiento de acción CAPTCHA y Challenge.

  • Mitigación estricta: el grupo de reglas puede bloquear las solicitudes por completo.

Para obtener más información acerca del funcionamiento y la configuración del grupo de reglas, consulte Protección Anti- DDo S avanzada mediante el grupo de reglas gestionado AWS WAF Anti- DDo S.

nota

Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administradas. Para obtener más información, consulte AWS WAF Precios.

Este grupo de reglas forma parte de las protecciones de mitigación de amenazas inteligentes de AWS WAF. Para obtener información, consulte Mitigación inteligente de amenazas en AWS WAF.

Para minimizar los costes y optimizar la gestión del tráfico, use este grupo de reglas de acuerdo con las directrices de prácticas recomendadas. Consulte, Mejores prácticas para la mitigación inteligente de amenazas en AWS WAF.

Etiquetas agregadas por este grupo de reglas

Este grupo de reglas administrado agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en su paquete de protección (ACL web). AWS WAF también registra las etiquetas según las CloudWatch métricas de Amazon. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte Etiquetado de solicitudes web y Etiquetar métricas y dimensiones.

Etiquetas de token

Este grupo de reglas utiliza la administración de AWS WAF tokens para inspeccionar y etiquetar las solicitudes web según el estado de sus AWS WAF tokens. AWS WAF usa tokens para el seguimiento y la verificación de las sesiones del cliente.

Para obtener información sobre los tókenes y su administración, consulte Uso de tokens en la mitigación AWS WAF inteligente de amenazas.

Para obtener información sobre los componentes de las etiquetas que se describen aquí, consulte Requisitos de nomenclatura y sintaxis de etiquetas en AWS WAF.

Etiqueta de sesión de cliente

La etiqueta awswaf:managed:token:id:identifier contiene un identificador único que la administración de AWS WAF tokens utiliza para identificar la sesión del cliente. El identificador puede cambiar, por ejemplo, si el cliente adquiere un nuevo token después de descartar el que estaba utilizando.

nota

AWS WAF no informa de CloudWatch las estadísticas de Amazon para esta etiqueta.

Etiqueta de la huella digital del navegador

La etiqueta awswaf:managed:token:fingerprint:fingerprint-identifier contiene un robusto identificador de huellas dactilares del navegador que la administración de AWS WAF tokens calcula a partir de varias señales del navegador del cliente. Este identificador permanece igual en varios intentos de adquisición de tokens. El identificador de huella digital no es exclusivo de un solo cliente.

nota

AWS WAF no informa de CloudWatch las estadísticas de Amazon para esta etiqueta.

Etiquetas de estado del token: prefijos del espacio de nombres de etiquetas

Las etiquetas de estado del token informan sobre el estado del token y de la información que contiene del desafío y del CAPTCHA.

Cada etiqueta de estado del token comienza con uno de los siguientes prefijos de espacio de nombres:

  • awswaf:managed:token:: Se utiliza para informar sobre el estado general del token y el estado de la información del desafío del token.

  • awswaf:managed:captcha:: Se utiliza para informar sobre el estado de la información del CAPTCHA del token.

Etiquetas de estado del token: nombres de etiquetas

Tras el prefijo, el resto de la etiqueta proporciona información detallada sobre el estado del token:

  • accepted: El token de solicitud está presente y contiene lo siguiente:

    • Una solución válida del desafío o del CAPTCHA.

    • Una marca de tiempo vigente del desafío o del CAPTCHA.

    • Una especificación de dominio válida para el paquete de protección (ACL web).

    Ejemplo: la etiqueta awswaf:managed:token:accepted indica que el token de la solicitud web tiene una solución válida y una marca temporal vigente para el desafío, así como un dominio válido.

  • rejected: El token de solicitud está presente, pero no cumple con los criterios de aceptación.

    Junto con la etiqueta rechazada, la administración del token agrega un espacio de nombres y nombre de etiqueta personalizados para indicar el motivo.

    • rejected:not_solved: Al token le falta la solución del desafío o del CAPTCHA.

    • rejected:expired: la marca temporal del desafío o del CAPTCHA del token ha caducado, de acuerdo con los tiempos de inmunidad del token configurado en el paquete de protección (ACL web).

    • rejected:domain_mismatch: el dominio del token no coincide con la configuración del dominio del token de su paquete de protección (ACL web).

    • rejected:invalid— no se AWS WAF pudo leer el token indicado.

    Ejemplo: las etiquetas awswaf:managed:captcha:rejected y awswaf:managed:captcha:rejected:expired indican que la solicitud se rechazó porque la marca de tiempo del CAPTCHA del token ha superado el tiempo de inmunidad que se configuró en el paquete de protección (ACL web).

  • absent: La solicitud no contiene el token o el administrador del token no ha podido leerlo.

    Ejemplo: la etiqueta awswaf:managed:captcha:absent indica que la solicitud no tiene el token.

Etiquetas DDo antiS

El grupo de reglas gestionado por Anti- DDo S genera etiquetas con el prefijo del espacio de nombres awswaf:managed:aws:anti-ddos: seguido de cualquier espacio de nombres personalizado y del nombre de la etiqueta. Cada etiqueta refleja algún aspecto de las conclusiones de Anti- S. DDo

El grupo de reglas puede agregar cualquiera de las siguientes etiquetas a una solicitud, además de las que se agregan mediante reglas individuales.

  • awswaf:managed:aws:anti-ddos:event-detected— Indica que la solicitud va a un recurso protegido para el que el grupo de reglas gestionado detecta un evento DDo S. El grupo de reglas administradas detecta eventos cuando el tráfico hacia el recurso presenta una desviación significativa con respecto a la línea base de tráfico del recurso.

    El grupo de reglas agrega esta etiqueta a todas las solicitudes que se envían al recurso mientras se encuentra en este estado, por lo que el tráfico legítimo y el tráfico de ataque reciben esta etiqueta.

  • awswaf:managed:aws:anti-ddos:ddos-request: indica que la solicitud proviene de una fuente sospechosa de participar en un evento.

    Además de la etiqueta general, el grupo de reglas agrega las siguientes etiquetas que indican el nivel de confianza.

    awswaf:managed:aws:anti-ddos:low-suspicion-ddos-request— Indica una probable solicitud de ataque DDo S.

    awswaf:managed:aws:anti-ddos:medium-suspicion-ddos-request— Indica una solicitud de ataque DDo S muy probable.

    awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request— Indica una solicitud de ataque DDo S muy probable.

  • awswaf:managed:aws:anti-ddos:challengeable-request: indica que el URI de la solicitud es capaz de gestionar la acción Challenge. El grupo de reglas administrado lo aplica a cualquier solicitud cuyo URI no esté exento. URIs están exentos si coinciden con las expresiones regulares de URI exentas del grupo de reglas.

    Para obtener información sobre los requisitos de las solicitudes que puedan tomar un desafío de navegador silencioso, consulte Comportamiento de acción CAPTCHA y Challenge.

Puede recuperar todas las etiquetas de un grupo de reglas a través de la API llamando al DescribeManagedRuleGroup. Las etiquetas aparecen en la propiedad AvailableLabels de la respuesta.

El grupo de reglas gestionado por Anti- DDo S aplica etiquetas a las solicitudes, pero no siempre actúa en consecuencia. La administración de las solicitudes depende de la confianza con la que el grupo de reglas determine la participación en un ataque. Si lo desea, puede administrar las solicitudes que etiqueta el grupo de reglas con la adición de una regla de coincidencia de etiquetas que se ejecute después del grupo de reglas. Para obtener más información acerca de esto y ver ejemplos, consulte AWS WAF Prevención de denegación de servicio (DDoS) distribuida.

Listado de reglas Anti- DDo S

En esta sección se enumeran las reglas DDo antiS.

nota

Esta documentación cubre la versión estática más reciente de este grupo de reglas administradas. Reportamos los cambios de versión en el registro de cambios en AWS Registro de cambios de reglas gestionadas. Para obtener información sobre otras versiones, utilice el comando API DescribeManagedRuleGroup.

La información que publicamos sobre las reglas de los grupos de reglas AWS administradas tiene por objeto proporcionarle lo que necesita para usar las reglas sin dar a los actores infractores lo que necesitan para eludirlas.

Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el Centro de AWS Support.

Nombre de la regla Description (Descripción)
ChallengeAllDuringEvent

Coincide con las solicitudes que tienen la etiqueta awswaf:managed:aws:anti-ddos:challengeable-request de cualquier recurso protegido que esté bajo ataque actualmente.

Acción de la regla: Challenge

Solo puede anular esta acción de regla para Allow o Count. No se recomienda el uso de Allow. Para cualquier configuración de acción de regla, la regla solo coincide con las solicitudes que tienen la etiqueta challengeable-request.

La configuración de esta regla afecta a la evaluación de la siguiente regla,ChallengeDDoSRequests. AWS WAF solo evalúa esa regla cuando la acción para esta regla se ha establecido en la configuración de la ACL web del grupo de reglas administrado. Count

Si su carga de trabajo es vulnerable a cambios inesperados en el volumen de solicitudes, le recomendamos que rechace todas las solicitudes impugnables al mantener la configuración de acción predeterminada de Challenge. En el caso de las aplicaciones menos sensibles, puede establecer la acción de esta regla en Count y, a continuación, ajustar la sensibilidad de sus Challenge respuestas con la regla ChallengeDDoSRequests.

Etiquetas: awswaf:managed:aws:anti-ddos:ChallengeAllDuringEvent

ChallengeDDoSRequests

Coincide con las solicitudes de un recurso protegido que cumplen o superan la configuración de sensibilidad a los desafíos que configura el grupo de reglas durante los momentos en los que el recurso está bajo ataque.

Acción de la regla: Challenge

Solo puede anular esta acción de regla para Allow o Count. No se recomienda el uso de Allow. En cualquier caso, la regla solo coincide con las solicitudes que tienen la etiqueta challengeable-request.

AWS WAF solo evalúa esta regla si se anula la acción de la regla anteriorCount,. ChallengeAllDuringEvent

Etiquetas: awswaf:managed:aws:anti-ddos:ChallengeDDoSRequests

DDoSRequests

Coincide con las solicitudes de un recurso protegido que cumplen o superan la configuración de sensibilidad a los bloques configurada del grupo de reglas durante los momentos en los que el recurso está bajo ataque.

Acción de la regla: Block

Etiquetas: awswaf:managed:aws:anti-ddos:DDoSRequests