の新しいコンソールエクスペリエンスの紹介 AWS WAF
更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「コンソールの使用」を参照してください。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS WAF 分散サービス拒否 (DDoS) 防止ルールグループ
このセクションでは、分散型サービス拒否 (DDoS) 攻撃に対する保護の AWS WAF マネージドルールグループについて説明します。
VendorName: AWS、名前: AWSManagedRulesAntiDDoSRuleSet
注記
このドキュメントでは、このマネージドルールグループの最新の静的バージョンリリースについて説明します。バージョンの変更は、AWS マネージドルールの変更ログ の変更ログにレポートされます。他のバージョンの情報については、API コマンド DescribeManagedRuleGroup を使用してください。
AWS マネージドルールのルールグループでルール用に公開する情報は、ルールを回避するために必要なものを不正なアクターに与えることなく、ルールを使用するために必要なものを提供することを目的としています。
ここに記載されている以上の情報が必要な場合は、AWS サポート センター
DDoS 対策マネージドルールグループは、DDoS 攻撃に関与しているか、その可能性が高いリクエストを検出して管理するルールを提供します。さらに、ルールグループは、可能性の高いイベント中に評価されるすべてのリクエストにラベルを付けます。
このルールグループの使用に関する考慮事項
このルールグループは、DDoS 攻撃を受けているリソースに送信されるウェブリクエストをソフトかつハードに軽減します。さまざまな脅威レベルを検出するには、両方の緩和タイプの機密性を高、中、または低の疑惑レベルに調整できます。
ソフトな軽減 — ルールグループは、チャレンジインタースティシャルを処理できるリクエストに応答して、サイレントブラウザチャレンジを送信できます。チャレンジを実行するための要件については、「CAPTCHA および Challenge アクション動作」を参照してください。
ハードな軽減 — ルールグループはリクエストを完全にブロックできます。
ルールグループの動作方法とその設定方法の詳細については、「Anti-DDoS マネージドルールグループを使用した高度な AWS WAF Anti-DDoS 保護」を参照してください。
注記
このマネージドルールグループを使用する場合、追加料金が請求されます。詳細については、「AWS WAF 料金
このルールグループは、 AWS WAFでのインテリジェントな脅威の軽減保護の一部です。詳細については、「でのインテリジェントな脅威の軽減 AWS WAF」を参照してください。
コストを最小限に抑え、トラフィック管理を最適化するには、ベストプラクティスガイドラインに従ってこのルールグループを使用します。「でのインテリジェントな脅威軽減のベストプラクティス AWS WAF」を参照してください。
このルールグループによって追加されるラベル
このマネージドルールグループは、評価対象のウェブリクエストに保護パック (ウェブ ACL) 内のこのルールグループの後に実行されるルールでも使用できるラベルを追加します。 AWS WAF は、Amazon CloudWatch メトリクスにもラベルを記録します。ラベルとラベルメトリクスに関する一般的な情報については、「ウェブリクエストのラベル付け」および「ラベルメトリクスとディメンション」を参照してください。
トークンラベル
このルールグループは、 AWS WAF トークン管理を使用して、 AWS WAF トークンのステータスに従ってウェブリクエストを検査し、ラベル付けします。 は、クライアントセッションの追跡と検証にトークン AWS WAF を使用します。
トークンおよびトークンの管理の詳細については、「AWS WAF インテリジェントな脅威の軽減におけるトークンの使用」を参照してください。
ここで説明するラベルコンポーネントについては、「でのラベル構文と命名要件 AWS WAF」を参照してください。
クライアントセッションラベル
ラベルには、 AWS WAF トークン管理がクライアントセッションを識別するために使用する一意の識別子awswaf:managed:token:id:が含まれています。この識別子は、クライアントが使用していたトークンを破棄した後など、新しいトークンを取得すると変わる可能性があります。identifier
注記
AWS WAF はこのラベルの Amazon CloudWatch メトリクスを報告しません。
ブラウザフィンガープリントラベル
ラベルには、 AWS WAF トークン管理がさまざまなクライアントブラウザシグナルから計算する堅牢なブラウザフィンガープリント識別子awswaf:managed:token:fingerprint:が含まれています。この識別子は、複数のトークン取得の試行全体で同じままです。フィンガープリント識別子は、単一のクライアントに対して一意ではありません。fingerprint-identifier
注記
AWS WAF はこのラベルの Amazon CloudWatch メトリクスを報告しません。
トークンステータスラベル: ラベル名前空間プレフィックス
トークンステータスラベルは、トークン、チャレンジのステータス、およびそれに含まれる CAPTCHA 情報を報告します。
各トークンステータスラベルは、次のプレフィクスの 1 つで始まります。
awswaf:managed:token:— トークンの一般的なステータスを報告したり、トークンのチャレンジ情報のステータスを報告したりするために使用されます。awswaf:managed:captcha:— トークンの CAPTCHA 情報のステータスを報告するために使用されます。
トークンステータスラベル: ラベル名
プレフィックスに続いて、ラベルの残りの部分には詳細なトークンステータス情報が表示されます。
accepted- リクエストトークンが存在し、以下の内容が含まれています。有効なチャレンジまたは CAPTCHA ソリューション。
有効期限が切れていないチャレンジまたは CAPTCHA タイムスタンプ。
保護パック (ウェブ ACL) に有効なドメイン仕様。
例: ラベル
awswaf:managed:token:acceptedには、ウェブリクエストのトークンに有効なチャレンジソリューション、有効期限が切れていないチャレンジタイムスタンプ、および有効なドメインがあることが示されています。-
rejected- リクエストトークンは存在するが、承認基準を満たしていない。トークン管理では、拒否されたラベルに加えて、理由を示すカスタムラベル名前空間と名前が追加されます。
rejected:not_solved— トークンにチャレンジまたは CAPTCHA ソリューションがない。rejected:expired— 保護パック (ウェブ ACL) に設定されているトークンイミュニティ時間によると、トークンのチャレンジまたは CAPTCHA タイムスタンプの有効期限が切れている。rejected:domain_mismatch— トークンのドメインが、保護パック (ウェブ ACL) のトークンドメイン設定と一致しない。rejected:invalid– 指定されたトークンを読み取ることが AWS WAF できませんでした。
例: ラベル
awswaf:managed:captcha:rejectedとawswaf:managed:captcha:rejected:expiredとともに、トークンの CAPTCHA タイムスタンプがウェブ ACL で設定されている CAPTCHA トークンのイミュニティ時間を超えたために、リクエストには有効な CAPTCHA 解決がなかったことが示されています。 -
absent— リクエストにトークンがないか、トークンマネージャーがそれを読み取れなかった。例: ラベル
awswaf:managed:captcha:absentには、リクエストにトークンがないことが示されています。
DDoS 対策ラベル
DDoS 対策マネージドルールグループは、名前空間プレフィックス awswaf:managed:aws:anti-ddos: が付いたラベルを生成し、その後にカスタム名前空間およびラベル名が付いたラベルを生成します。各ラベルには、DDoS 対策の検出結果の一部が反映されています。
ルールグループは、個々のルールによって追加されるラベルに加えて、次のラベルをリクエストに複数追加できます。
-
awswaf:managed:aws:anti-ddos:event-detected– マネージドルールグループが DDoS イベントを検出する保護されたリソースにリクエストが送信されることを示します。マネージドルールグループは、リソースへのトラフィックがリソースのトラフィックベースラインから大幅に逸脱した場合にイベントを検出します。ルールグループは、この状態のリソースに送信されるすべてのリクエストにこのラベルを追加するため、正当なトラフィックと攻撃トラフィックはこのラベルを取得します。
-
awswaf:managed:aws:anti-ddos:ddos-request– リクエストがイベントに参加している疑いのあるソースからのものであることを示します。ルールグループは、一般ラベルに加えて、信頼度を示す次のラベルを追加します。
awswaf:managed:aws:anti-ddos:low-suspicion-ddos-request– DDoS 攻撃の可能性があるリクエストを示します。awswaf:managed:aws:anti-ddos:medium-suspicion-ddos-request– DDoS 攻撃の可能性が高いリクエストを示します。awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request– DDoS 攻撃の可能性が非常に高いリクエストを示します。 -
awswaf:managed:aws:anti-ddos:challengeable-request– リクエスト URI が Challenge アクションを処理できることを示します。マネージドルールグループは、URI が除外されていないすべてのリクエストにこれを適用します。URI は、ルールグループの除外 URI 正規表現と一致する場合、除外されます。サイレントブラウザチャレンジを実行できるリクエストの要件については、「CAPTCHA および Challenge アクション動作」を参照してください。
DescribeManagedRuleGroup を呼び出すことにより、API を介してルールグループのすべてのラベルを取得できます。ラベルは、応答の AvailableLabels プロパティにリストされています。
DDoS 対策マネージドルールグループは、リクエストにラベルを適用しますが、必ずしもそれらに対して対応するとは限りません。リクエスト管理は、ルールグループが攻撃への参加を決定する信頼度によって異なります。必要に応じて、ルールグループの後に実行されるラベル一致ルールを追加して、ルールグループがラベル付けするリクエストを管理できます。これと例の詳細については、「AWS WAF 分散サービス拒否 (DDoS) の防止」を参照してください。
DDoS 対策ルールのリスト
このセクションでは、DDoS 対策ルールを一覧表示します。
注記
このドキュメントでは、このマネージドルールグループの最新の静的バージョンリリースについて説明します。バージョンの変更は、AWS マネージドルールの変更ログ の変更ログにレポートされます。他のバージョンの情報については、API コマンド DescribeManagedRuleGroup を使用してください。
AWS マネージドルールのルールグループでルール用に公開する情報は、ルールを回避するために必要なものを不正なアクターに与えることなく、ルールを使用するために必要なものを提供することを目的としています。
ここに記載されている以上の情報が必要な場合は、AWS サポート センター
| ルール名 | 説明 |
|---|---|
ChallengeAllDuringEvent |
現在攻撃を受けている保護されたリソースのラベル ルールアクション: Challenge このルールアクションは、Allow または Count にのみオーバーライドできます。Allow の使用はお勧めしません。ルールアクション設定では、ルールは このルールの設定は、次のルールの評価に影響します ワークロードが予期しないリクエストボリュームの変更に対して脆弱である場合は、デフォルトのアクション設定を Challenge のままにして、すべてのチャレンジ可能なリクエストにチャレンジすることをお勧めします。機密性の低いアプリケーションでは、このルールに対するアクションを Count に設定し、ルール ラベル: |
ChallengeDDoSRequests |
リソースが攻撃を受けている期間中に、ルールグループで設定されたチャレンジ感度のしきい値以上を満たす、保護対象リソースへのリクエストに一致します。 ルールアクション: Challenge このルールアクションは、Allow または Count にのみオーバーライドできます。Allow の使用はお勧めしません。いずれの場合も、ルールは AWS WAF は、前のルール Countで アクションを に上書きする場合にのみ、このルールを評価します ラベル: |
DDoSRequests |
リソースが攻撃されている間に、ルールグループの設定されたブロック感度設定を満たすか超える保護されたリソースのリクエストに一致します。 ルールアクション: Block ラベル: |
