Apresentando uma nova experiência de console para AWS WAF
Agora você pode usar a experiência atualizada para acessar a AWS WAF funcionalidade em qualquer lugar do console. Para obter mais detalhes, consulte Trabalhando com o console.
As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWS WAF Grupo de regras de prevenção de negação de serviço distribuído (DDoS)
Esta seção descreve o grupo de regras AWS WAF gerenciadas para a proteção contra ataques distribuídos de negação de serviço (DDoS).
VendorName:AWS, Nome:AWSManagedRulesAntiDDoSRuleSet
nota
Esta documentação abrange a versão estática mais recente desse grupo de regras gerenciadas. As alterações de versão são informadas no changelog em AWS Registro de alterações das regras gerenciadas. Para obter informações sobre outras versões, use o comando API DescribeManagedRuleGroup.
As informações que publicamos sobre as regras nos grupos de regras de regras AWS gerenciadas têm como objetivo fornecer o que você precisa para usar as regras, sem dar aos malfeitores o que eles precisam para contorná-las.
Se precisar de mais informações, entre em contato com o AWS Support Center
O grupo de regras gerenciadas do DDo Anti-S fornece regras que detectam e gerenciam solicitações que estão participando ou provavelmente participam de ataques DDo S. Além disso, o grupo de regras rotula todas as solicitações que ele avalia durante um provável evento.
Considerações sobre o uso deste grupo de regras
Esse grupo de regras fornece atenuações flexíveis e rígidas para solicitações da web que chegam a recursos que estão sob ataque DDo S. Para detectar diferentes níveis de ameaça, é possível ajustar a sensibilidade de ambos os tipos de mitigação para níveis de suspeita altos, médios ou baixos.
Atenuação flexível: o grupo de regras pode enviar desafios silenciosos ao navegador em resposta a solicitações que podem lidar com o desafio intersticial. Para saber mais sobre os requisitos para executar o desafio, consulte Comportamento de ações CAPTCHA e Challenge.
Atenuação rígida: o grupo de regras pode bloquear completamente as solicitações.
Para obter mais informações sobre como o grupo de regras funciona e como configurá-lo, consulte Proteção DDo anti-S avançada usando o grupo de regras gerenciadas AWS WAF DDo Anti-S.
nota
Você paga taxas adicionais ao usar esse grupo de regras gerenciadas. Para obter mais informações, consulte AWS WAF Preço
Esse grupo de regras faz parte das proteções de mitigação de ameaças inteligentes em AWS WAF. Para mais informações, consulte Mitigação inteligente de ameaças em AWS WAF.
Para minimizar os custos e otimizar o gerenciamento de tráfego, use esse grupo de regras de acordo com as diretrizes de melhores práticas. Consulte Melhores práticas para mitigação inteligente de ameaças em AWS WAF.
Rótulos adicionados por esse grupo de regras
Esse grupo de regras gerenciadas adiciona rótulos às solicitações da web que ele avalia, que estão disponíveis para as regras executadas após esse grupo de regras em seu pacote de proteção (Web ACL). AWS WAF também registra os rótulos nas CloudWatch métricas da Amazon. Para obter informações gerais sobre rótulos e métricas de rótulos, consulte Rotulagem de solicitações da Web e Métricas e dimensões do rótulo.
rótulos de token
Esse grupo de regras usa o gerenciamento de AWS WAF tokens para inspecionar e rotular solicitações da web de acordo com o status de seus AWS WAF tokens. AWS WAF usa tokens para rastreamento e verificação da sessão do cliente.
Para saber mais sobre os tokens e sobre o gerenciamento de token, consulte Uso de tokens na mitigação AWS WAF inteligente de ameaças.
Para saber mais sobre os componentes do rótulo descritos aqui, consulte Sintaxe de rótulos e requisitos de nomenclatura em AWS WAF.
Rótulo de sessão do cliente
O rótulo awswaf:managed:token:id: contém um identificador exclusivo que o gerenciamento de AWS WAF tokens usa para identificar a sessão do cliente. O identificador pode ser alterado se o cliente adquirir um novo token, por exemplo, após descartar o token que estava usando. identifier
nota
AWS WAF não relata CloudWatch métricas da Amazon para esse rótulo.
Impressão digital do navegador
O rótulo awswaf:managed:token:fingerprint: contém um identificador robusto de impressão digital do navegador que o gerenciamento de AWS WAF tokens calcula a partir de vários sinais do navegador do cliente. Esse identificador permanece o mesmo em várias tentativas de obtenção de tokens. O identificador de impressão digital não é específico de um único cliente.fingerprint-identifier
nota
AWS WAF não relata CloudWatch métricas da Amazon para esse rótulo.
Rótulos de status do token: prefixos de namespace para os rótulos
Os rótulos de status do token informam sobre o status do token e sobre as informações de desafio e de CAPTCHA que ele contém.
Cada rótulo de status do token começa com um dos seguintes prefixos de namespace:
awswaf:managed:token:: usado para relatar o status geral do token e para informar o status das informações de desafio do token.awswaf:managed:captcha:: usado para relatar o status das informações de CAPTCHA do token.
Rótulos de status do token: nomes de rótulos
Na sequência do prefixo, o restante do rótulo fornece informações detalhadas sobre o status do token:
accepted: o token de solicitação está presente e contém o seguinte:Uma solução de desafio ou de CAPTCHA válida.
Um carimbo de data/hora de desafio ou de CAPTCHA não expirado.
Uma especificação de domínio válida para o pacote de proteção (ACL da Web).
Exemplo: o rótulo
awswaf:managed:token:acceptedindica que o token de solicitações da Web tem uma solução de desafio válida, um carimbo de data/hora de desafio não expirado e um domínio válido.-
rejected: o token de solicitação está presente, mas não atende aos critérios de aceitação.Em conjunto com o rótulo rejeitado, o gerenciamento de token adiciona um namespace e um nome de rótulo personalizado para indicar o motivo.
rejected:not_solved: a solução de desafio ou de CAPTCHA está ausente no token.rejected:expired: o timestamp de desafio ou de CAPTCHA do token expirou, de acordo com os tempos de imunidade de token configurados do pacote de proteção (ACL da Web).rejected:domain_mismatch: o domínio do token não corresponde à configuração de domínio do token do pacote de proteção (ACL da Web).rejected:invalid— não AWS WAF consegui ler o token indicado.
Exemplo: os rótulos
awswaf:managed:captcha:rejectedeawswaf:managed:captcha:rejected:expiredjuntos indicam que a solicitação não tinha uma solução de CAPTCHA válida porque o timestamp do CAPTCHA no token excedeu o tempo de imunidade de token de CAPTCHA configurado no pacote de proteção (ACL da Web). -
absent: a solicitação não tem o token ou o gerenciador de token não conseguiu realizar a leitura dele.Exemplo: o rótulo
awswaf:managed:captcha:absentindica que a solicitação não tem o token.
Etiquetas DDo anti-S
O grupo de regras gerenciadas do DDo Anti-S gera rótulos com o prefixo do namespace awswaf:managed:aws:anti-ddos: seguido por qualquer namespace personalizado e pelo nome do rótulo. Cada rótulo reflete algum aspecto das descobertas do DDo Anti-S.
O grupo de regras pode adicionar mais de um dos rótulos a seguir a uma solicitação, além dos rótulos adicionados por regras individuais.
-
awswaf:managed:aws:anti-ddos:event-detected— Indica que a solicitação está indo para um recurso protegido para o qual o grupo de regras gerenciadas detecta um evento DDo S. O grupo de regras gerenciadas detecta eventos quando o tráfego para o recurso apresenta um desvio significativo da linha de base de tráfego do recurso.O grupo de regras adiciona esse rótulo a cada solicitação que vai para o recurso enquanto ele está nesse estado, assim o tráfego legítimo e o tráfego de ataque recebam esse rótulo.
-
awswaf:managed:aws:anti-ddos:ddos-request: indica que a solicitação vem de uma fonte suspeita de participar de um evento.Além do rótulo geral, o grupo de regras adiciona os seguintes rótulos que indicam o nível de confiança.
awswaf:managed:aws:anti-ddos:low-suspicion-ddos-request— Indica uma provável solicitação DDo de ataque S.awswaf:managed:aws:anti-ddos:medium-suspicion-ddos-request— Indica uma solicitação de ataque DDo S muito provável.awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request— Indica uma solicitação de ataque DDo S altamente provável. -
awswaf:managed:aws:anti-ddos:challengeable-request: indica que o URI da solicitação é capaz de lidar com a ação Challenge. O grupo de regras gerenciadas aplica isso a qualquer solicitação cujo URI não esteja isento. URIs são isentos se corresponderem às expressões regulares de URI isentas do grupo de regras.Para saber mais sobre os requisitos para solicitações que podem aceitar um desafio silencioso do navegador, consulte Comportamento de ações CAPTCHA e Challenge.
Você pode recuperar todos os rótulos de um grupo de regras por meio da API chamando DescribeManagedRuleGroup. Os rótulos estão listados na propriedade AvailableLabels na resposta.
O grupo de regras gerenciadas do DDo Anti-S aplica rótulos às solicitações, mas nem sempre age de acordo com elas. O gerenciamento de solicitações depende do grau de certeza do grupo de regras em relação à participação em um ataque. Se quiser, você pode gerenciar as solicitações que o grupo de regras rotula adicionando uma regra para correspondência de rótulos que é executada após o grupo de regras. Para obter mais informações sobre isso e exemplos, consulte AWS WAF Prevenção distribuída de negação de serviço (DDoS).
Lista de regras DDo anti-S
Esta seção lista as regras DDo Anti-S.
nota
Esta documentação abrange a versão estática mais recente desse grupo de regras gerenciadas. As alterações de versão são informadas no changelog em AWS Registro de alterações das regras gerenciadas. Para obter informações sobre outras versões, use o comando API DescribeManagedRuleGroup.
As informações que publicamos sobre as regras nos grupos de regras de regras AWS gerenciadas têm como objetivo fornecer o que você precisa para usar as regras, sem dar aos malfeitores o que eles precisam para contorná-las.
Se precisar de mais informações, entre em contato com o AWS Support Center
| Nome da regra | Description |
|---|---|
ChallengeAllDuringEvent |
Corresponde às solicitações que têm o rótulo Ação da regra: Challenge Você só pode substituir essa ação da regra por Allow ou Count. Não é recomendável usar Allow. Em qualquer configuração de ação de regra, a regra se aplica apenas a solicitações que têm o rótulo A configuração dessa regra afeta a avaliação da próxima regra, Se a workload for vulnerável a mudanças inesperadas no volume de solicitações, recomendamos desafiar todas as solicitações possíveis, mantendo a configuração de ação padrão de Challenge. Para aplicações menos sensíveis, defina a ação dessa regra como Count e ajuste a sensibilidade das respostas ao Challenge com a regra Rótulos: |
ChallengeDDoSRequests |
Corresponde às solicitações de um recurso protegido que atendem ou excedem a configuração de sensibilidade de desafio definida pelo grupo de regras, quando o recurso está sob ataque. Ação da regra: Challenge Você só pode substituir essa ação da regra por Allow ou Count. Não é recomendável usar Allow. De qualquer modo, a regra se aplica apenas a solicitações que têm o rótulo AWS WAF só avalia essa regra se você substituir a ação Count na regra anterior,. Rótulos: |
DDoSRequests |
Corresponde às solicitações de um recurso protegido que atendem ou excedem a configuração de sensibilidade de bloqueio definida pelo grupo de regras, quando o recurso está sob ataque. Ação da regra: Block Rótulos: |
