Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Pertahanan lapisan aplikasi (BP1,BP2)
Banyak teknik yang dibahas sejauh ini dalam paper ini efektif dalam mengurangi dampak DDoS serangan lapisan infrastruktur terhadap ketersediaan aplikasi Anda. Untuk juga bertahan terhadap serangan lapisan aplikasi, Anda perlu menerapkan arsitektur yang memungkinkan Anda mendeteksi, menskalakan untuk menyerap, dan memblokir permintaan berbahaya secara khusus. Ini merupakan pertimbangan penting karena sistem DDoS mitigasi berbasis jaringan umumnya tidak efektif dalam mengurangi serangan lapisan aplikasi yang kompleks.
# Mendeteksi dan memfilter permintaan web berbahaya (BP1,BP2)
Saat aplikasi berjalan AWS, Anda dapat memanfaatkan Amazon CloudFront (dan kemampuan HTTP caching) AWS WAF, dan perlindungan lapisan Shield Advanced Automatic Application untuk membantu mencegah permintaan yang tidak perlu mencapai asal Anda selama DDoS serangan lapisan aplikasi.
# Amazon CloudFront
Amazon CloudFront dapat membantu mengurangi beban server dengan mencegah lalu lintas non-web mencapai asal Anda. Untuk mengirim permintaan ke CloudFront aplikasi, koneksi harus dibuat dengan alamat IP yang valid melalui TCP jabat tangan yang lengkap, yang tidak dapat dipalsukan. Selain itu, CloudFront dapat secara otomatis menutup koneksi dari penyerang membaca lambat atau menulis lambat (misalnya, [Slowloris](https://en.wikipedia.org/wiki/Slowloris_(computer_security))).
## CDNcaching
CloudFront memungkinkan Anda untuk menyajikan konten dinamis dan konten statis dari lokasi AWS tepi. Dengan menyajikan konten proxy yang dapat CDN di-cache dari cache, Anda mencegah permintaan mencapai asal Anda dari node cache tepi tertentu selama durasi caching. TTL Sehubungan dengan [keruntuhan permintaan](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/RequestAndResponseBehaviorCustomOrigin.html#request-custom-traffic-spikes) untuk konten yang kedaluwarsa tetapi dapat di-cache, bahkan sangat singkat TTL berarti bahwa jumlah permintaan yang dapat diabaikan akan mencapai asal Anda selama banjir permintaan untuk konten tersebut. Selain itu mengaktifkan fitur seperti [CloudFront Origin Shield](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/origin-shield.html) dapat membantu mengurangi beban pada asal Anda — apa pun yang dapat Anda lakukan untuk [meningkatkan rasio hit cache](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cache-hit-ratio.html) dapat berarti perbedaan antara serangan banjir permintaan yang berdampak dan tidak berdampak.
# AWS WAF
Dengan menggunakan AWS WAF, Anda dapat mengonfigurasi daftar kontrol akses web (WebACLs) pada CloudFront distribusi global atau sumber daya regional untuk memfilter, memantau, dan memblokir permintaan berdasarkan tanda tangan permintaan. Untuk menentukan apakah akan mengizinkan atau memblokir permintaan, Anda dapat mempertimbangkan faktor-faktor seperti alamat IP atau negara asal, string atau pola tertentu dalam permintaan, ukuran bagian tertentu dari permintaan, dan keberadaan SQL kode atau skrip berbahaya. Anda juga dapat menjalankan CAPTCHA teka-teki dan tantangan sesi klien diam terhadap permintaan.
Keduanya AWS WAF dan CloudFront juga memungkinkan Anda untuk mengatur pembatasan geografis untuk memblokir atau mengizinkan permintaan dari negara yang dipilih. Ini dapat membantu memblokir atau membatasi serangan dari lokasi geografis di mana Anda tidak berharap untuk melayani pengguna. Dengan pernyataan aturan kecocokan geografis berbutir halus AWS WAF, Anda dapat mengontrol akses ke tingkat wilayah.
Anda dapat menggunakan [pernyataan Scope-down](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-scope-down-statements.html) untuk mempersempit cakupan permintaan yang dievaluasi aturan untuk menghemat biaya dan [“label” pada permintaan web untuk mengizinkan aturan yang cocok dengan permintaan](https://docs.aws.amazon.com/waf/latest/developerguide/waf-labels.html) untuk mengkomunikasikan hasil kecocokan ke aturan yang dievaluasi nanti di web yang sama. ACL Pilih opsi ini untuk menggunakan kembali logika yang sama di beberapa aturan.
Anda juga dapat menentukan respons kustom lengkap, dengan kode respons, header, dan badan.
Untuk membantu mengidentifikasi permintaan berbahaya, tinjau log server web Anda atau gunakan AWS WAF pencatatan dan pengambilan sampel permintaan.Dengan mengaktifkan AWS WAF pencatatan, Anda mendapatkan informasi terperinci tentang lalu lintas yang dianalisis oleh Web. ACL AWS WAF mendukung penyaringan log, memungkinkan Anda untuk menentukan permintaan web mana yang dicatat dan permintaan mana yang dibuang dari log setelah inspeksi.
Informasi yang direkam dalam log mencakup waktu AWS WAF menerima permintaan dari AWS sumber daya Anda, informasi terperinci tentang permintaan, dan tindakan pencocokan untuk setiap aturan yang diminta.
Permintaan sampel memberikan detail tentang permintaan dalam tiga jam terakhir yang cocok dengan salah satu aturan Anda AWS WAF . Anda dapat menggunakan informasi ini untuk mengidentifikasi tanda tangan lalu lintas yang berpotensi berbahaya dan membuat aturan baru untuk menolak permintaan tersebut. Jika Anda melihat sejumlah permintaan dengan string kueri acak, pastikan untuk mengizinkan hanya parameter string kueri yang relevan dengan cache untuk aplikasi Anda. Teknik ini sangat membantu dalam mengurangi serangan cache busting terhadap asal Anda.
# AWS WAF — Aturan berbasis tarif
AWS sangat merekomendasikan perlindungan terhadap banjir HTTP permintaan dengan menggunakan aturan berbasis tarif AWS WAF untuk secara otomatis memblokir alamat IP aktor jahat ketika jumlah permintaan yang diterima dalam jendela geser 5 menit melebihi ambang batas yang Anda tentukan. Alamat IP klien yang menyinggung akan menerima respons terlarang 403 (atau respons kesalahan blok yang dikonfigurasi) dan tetap diblokir hingga tingkat permintaan turun di bawah ambang batas.
Disarankan untuk aturan berbasis tingkat lapisan untuk memberikan perlindungan yang ditingkatkan sehingga Anda memiliki:
+ Aturan berbasis tarif selimut untuk melindungi aplikasi Anda dari banjir besarHTTP.
+ Satu atau lebih aturan berbasis tarif untuk melindungi spesifik URIs pada tingkat yang lebih ketat daripada aturan berbasis tarif selimut.
Misalnya Anda dapat memilih aturan berbasis tarif selimut (tidak ada pernyataan cakupan turun) dengan batas 500 permintaan dalam periode 5 menit, dan kemudian membuat satu atau lebih aturan berbasis tarif berikut dengan batas lebih rendah dari 500 (serendah 100 permintaan dalam periode 5 menit) menggunakan pernyataan cakupan bawah:
+ Lindungi **halaman web** Anda dengan pernyataan cakupan ke bawah seperti "`if NOT uri_path contains '.'`" sehingga permintaan sumber daya tanpa ekstensi file dilindungi lebih lanjut. Ini juga melindungi homepage Anda (`/`) yang merupakan URI jalur yang sering ditargetkan.
+ Lindungi **titik akhir dinamis** dengan pernyataan cakupan ke bawah seperti "” `if method exactly matches 'post' (convert lowercase)`
+ Lindungi **permintaan berat** yang mencapai database Anda atau memanggil kata sandi satu kali (OTP) dengan cakupan ke bawah seperti "” `if uri_path starts_with '/login' OR uri_path starts_with '/signup' OR uri_path starts_with '/forgotpassword'`
Berbasis tarif dalam mode “Blok” adalah landasan defense-in-depth WAF konfigurasi Anda untuk melindungi dari banjir permintaan dan merupakan persyaratan agar permintaan perlindungan AWS Shield Advanced biaya disetujui. Kami akan memeriksa defense-in-depth WAF konfigurasi tambahan di bagian berikut.
# AWS WAF — Reputasi IP
Untuk mencegah serangan berdasarkan reputasi alamat IP, Anda dapat membuat aturan menggunakan pencocokan IP atau menggunakan [Aturan Terkelola](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-list.html) untuk AWS WAF.
[Grup aturan daftar reputasi IP Amazon](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-ip-rep.html#aws-managed-rule-groups-ip-rep-amazon) mencakup aturan berdasarkan intelijen ancaman internal Amazon. Aturan-aturan ini mencari alamat IP yang merupakan bot, melakukan pengintaian terhadap AWS sumber daya, atau secara aktif terlibat dalam aktivitas. DDoS `AWSManagedIPDDoSList`Aturan, telah diamati memblokir lebih dari 90% dari permintaan banjir berbahaya.
[Grup aturan daftar IP Anonim](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-ip-rep.html#aws-managed-rule-groups-ip-rep-anonymous) berisi aturan untuk memblokir permintaan dari layanan yang memungkinkan pengaburan identitas penampil. Ini termasuk permintaan dariVPNs, proxy, node Tor, dan platform cloud (tidak termasuk AWS).
Selain itu, Anda dapat menggunakan daftar reputasi IP pihak ketiga dengan menggunakan komponen [parser Daftar IP](https://docs.aws.amazon.com/solutions/latest/security-automations-for-aws-waf/component-details.html#ip-lists-parser) dari [Otomatisasi Keamanan untuk AWS WAF solusi.](https://docs.aws.amazon.com/solutions/latest/security-automations-for-aws-waf/component-details.html)
# AWS WAF - Mitigasi ancaman cerdas
Botnet adalah ancaman keamanan yang serius dan biasanya digunakan untuk melakukan kegiatan ilegal atau berbahaya seperti mengirim spam, mencuri data sensitif, memulai serangan ransomware, melakukan penipuan iklan melalui klik penipuan, atau meluncurkan serangan terdistribusi (). denial-of-service DDoS Untuk mencegah serangan bot, gunakan grup aturan terkelola [AWS WAF Bot Control](https://docs.aws.amazon.com/waf/latest/developerguide/waf-bot-control.html). Grup aturan ini menyediakan tingkat perlindungan dasar “Umum” yang menambahkan label ke bot pengenal diri, memverifikasi bot yang umumnya diinginkan, dan mendeteksi tanda tangan bot dengan kepercayaan tinggi dan tingkat perlindungan “Ditargetkan” yang menambahkan deteksi untuk bot tingkat lanjut yang tidak mengidentifikasi diri.
Perlindungan yang ditargetkan menggunakan teknik deteksi lanjutan seperti interogasi browser, sidik jari, dan heuristik perilaku untuk mengidentifikasi lalu lintas bot yang buruk dan kemudian menerapkan kontrol mitigasi seperti pembatasan laju dan dan tindakan aturan Tantangan. CAPTCHA Targeted juga menyediakan opsi pembatasan tarif untuk menegakkan pola akses seperti manusia dan menerapkan pembatasan laju dinamis melalui penggunaan token permintaan. Untuk detail selengkapnya, lihat [Grup aturan Kontrol AWS WAF Bot.](https://docs.aws.amazon.com/waf/latest/developerguide/waf-bot-control.html) Untuk mendeteksi dan mengelola upaya pengambilalihan berbahaya pada halaman login aplikasi Anda, Anda dapat menggunakan grup aturan pencegahan pengambilalihan akun Kontrol AWS WAF Penipuan (ATP). Grup aturan melakukan ini dengan memeriksa upaya login yang dikirim klien ke titik akhir login aplikasi Anda dan juga memeriksa respons aplikasi Anda terhadap upaya login, untuk melacak keberhasilan dan tingkat kegagalan.
Penipuan pembuatan akun adalah aktivitas ilegal online di mana penyerang mencoba membuat satu atau lebih akun palsu. Penyerang menggunakan akun palsu untuk kegiatan penipuan seperti menyalahgunakan promosi dan mendaftar bonus, meniru seseorang, dan serangan cyber seperti phishing. Kehadiran akun palsu dapat berdampak negatif pada bisnis Anda dengan merusak reputasi Anda dengan pelanggan dan paparan penipuan keuangan.
Anda dapat memantau dan mengontrol upaya penipuan pembuatan akun dengan menerapkan fitur pencegahan AWS WAF penipuan (ACFP) pembuatan akun Fraud Control. AWS WAF menawarkan fitur ini di grup Peraturan yang Dikelola AWS aturan `AWS ManagedRulesACFPRuleSet` dengan integrasi aplikasi pendampingSDKs.
Pelajari lebih lanjut tentang perlindungan ini dalam [https://docs.aws.amazon.com/waf/latest/developerguide/waf-managed-protections.html](https://docs.aws.amazon.com/waf/latest/developerguide/waf-managed-protections.html).
# Secara otomatis mengurangi DDoS peristiwa lapisan aplikasi (,,) BP1 BP2 BP6
Jika Anda berlangganan AWS Shield Advanced, Anda dapat mengaktifkan [DDoSmitigasi lapisan](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-automatic-app-layer-response.html) [aplikasi otomatis Shield Advanced](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-automatic-app-layer-response.html). Fitur ini secara otomatis membuat, mengevaluasi, dan menerapkan AWS WAF aturan untuk mengurangi DDoS peristiwa layer 7 atas nama Anda.
AWS Shield Advanced menetapkan garis dasar lalu lintas untuk setiap sumber daya yang dilindungi yang terkait dengan Web. WAF ACL Lalu lintas yang secara signifikan menyimpang dari baseline yang ditetapkan ditandai sebagai peristiwa potensial. DDoS Setelah peristiwa terdeteksi, AWS Shield Advanced upaya untuk mengidentifikasi tanda tangan permintaan web yang merupakan peristiwa, dan jika tanda tangan diidentifikasi, AWS WAF aturan dibuat untuk mengurangi lalu lintas dengan tanda tangan itu.
Setelah aturan dievaluasi berdasarkan garis dasar historis dan dianggap aman, aturan tersebut ditambahkan ke grup aturan yang dikelola Shield, dan Anda dapat memilih apakah aturan diterapkan dalam mode hitungan atau blokir. Shield Advanced secara otomatis menghapus AWS WAF aturan setelah ditentukan bahwa suatu peristiwa telah sepenuhnya mereda.
# Engage SRT (hanya pelanggan Shield Advanced)
Selain itu, saat berlangganan Shield Advanced, Anda dapat terlibat AWS SRT untuk membantu Anda membuat aturan guna mengurangi serangan yang merusak ketersediaan aplikasi Anda. Anda dapat memberikan akses AWS SRT terbatas ke akun Anda AWS Shield Advanced dan AWS WAF APIs. AWS SRTmengakses ini APIs untuk menempatkan mitigasi pada akun Anda hanya dengan otorisasi eksplisit Anda. Untuk informasi lebih lanjut, lihat [Dukungan](support.md) bagian dokumen ini.
Anda dapat menggunakan AWS Firewall Manager untuk mengonfigurasi dan mengelola aturan keamanan secara terpusat, seperti AWS Shield Advanced perlindungan dan AWS WAF aturan, di seluruh organisasi Anda. Akun AWS Organizations manajemen Anda dapat menunjuk akun administrator, yang diberi wewenang untuk membuat kebijakan Firewall Manager. Kebijakan ini memungkinkan Anda untuk menentukan kriteria, seperti jenis sumber daya dan tag, yang menentukan di mana aturan diterapkan. Ini berguna ketika Anda memiliki banyak akun dan ingin membakukan perlindungan Anda.
Untuk informasi lebih lanjut tentang:
+ Peraturan yang Dikelola AWS untuk AWS WAF, lihat [Peraturan yang Dikelola AWS untuk AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups.html).
+ Menggunakan pembatasan geografis untuk membatasi akses ke CloudFront distribusi Anda, lihat [Membatasi distribusi geografis konten](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/georestrictions.html) Anda.
+ Menggunakan AWS WAF, lihat:
+ [Memulai dengan AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html)
+ [Mencatat informasi ACL lalu lintas web](https://docs.aws.amazon.com/waf/latest/developerguide/logging.html)
+ [Melihat contoh permintaan web](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-testing.html#web-acl-testing-view-sample)
+ Mengkonfigurasi aturan berbasis tarif, lihat [Lindungi Situs Web dan Layanan Menggunakan Aturan Berbasis Tarif](https://aws.amazon.com/blogs/aws/protect-web-sites-services-using-rate-based-rules-for-aws-waf/) untuk. AWS WAF
+ Cara mengelola penerapan aturan di seluruh AWS sumber daya Anda dengan Firewall Manager, lihat:
+ [Memulai dengan AWS WAF kebijakan Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started-fms.html).
+ [Memulai kebijakan Firewall Manager Shield Advanced](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started-fms-shield.html).