Shield 高级版如何管理自动缓解 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
启用自动缓解时在 DDoS 攻击期间当您更改操作设置时当攻击平息时当您禁用自动缓解时
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Shield 高级版如何管理自动缓解

本节中的主题介绍了 Shield Advanced 如何处理您的配置更改以自动缓解应用层 DDoS,以及启用自动缓解后它如何处理 DDoS 攻击。

在启用自动缓解时发生的情况

当你启用自动缓解时,Shield Advanced 会执行以下操作:

  • 根据需要添加规则组以供 Shield Advanced 使用— 如果Amazon WAF你与资源关联的 Web ACL 还没有Amazon WAFShield Advanced 添加了一条规则组参考声明,该声明专门用于自动缓解应用层 DDoS 问题。规则组引用语句的名称以开头ShieldMitigationRuleGroup. 有关此规则组的更多详细信息,请参阅Shield Advanced 规则组参考声明.

  • 开始响应针对资源的 DDoS 攻击— Shield Advanced 会自动响应针对受保护资源的 DDoS 攻击。Shield Advanced 使用规则组进行部署Amazon WAF缓解 DDoS 攻击的规则。Shield Advanced 会根据您的应用程序和应用程序遇到的攻击量身定制这些规则,并在部署之前根据资源的历史流量对其进行测试。以下各节提供了有关 Shield Advanced 如何做到这一点的更多信息。

Shield Advanced 在用于自动缓解的任何 Web ACL 中使用单个规则组引用语句。如果你已经在使用 Web ACL 进行自动缓解,Shield Advanced 不会向其添加其他规则组。自动缓解应用层 DDoS 取决于规则组的存在来缓解攻击。如果规则组已从Amazon WAF无论出于何种原因,删除 Web ACL 都会禁用与 Web ACL 关联的所有资源的自动缓解功能。

Shield Advanced 如何通过自动缓解响应 DDoS 攻击

当 Shield Advanced 检测到对启用了自动缓解的受保护资源的攻击时,它会执行以下操作:

  1. 尝试识别攻击签名,将攻击流量与流向应用程序的普通流量隔离开来。目标是生成高质量的 DDoS 缓解规则,这些规则放置后仅影响攻击流量,不会影响应用程序的正常流量。

  2. 根据受到攻击的资源以及与同一 Web ACL 关联的任何其他资源的历史流量模式评估已识别的攻击签名。Shield Advanced 会在部署任何规则来响应事件之前执行此操作。

    根据评估结果,Shield Advanced 执行以下操作之一:

    • 如果 Shield Advanced 确定攻击签名仅隔离参与 DDoS 攻击的流量,则它将在中实现签名Amazon WAFWeb ACL 中 Shield Advanced 缓解规则组下的规则。Shield Advanced 为这些规则提供了你为资源自动缓解配置的操作设置——要么是COUNT要么BLOCK.

    • 否则,Shield Advanced 不会施加缓解。

在整个攻击过程中,Shield Advanced 会发送与基本 Shield Advanced 应用程序层保护相同的通知和提供相同的事件信息。您可以在 Shield Advanced 事件控制台中查看有关事件和 DDoS 攻击的信息,以及任何 Shield Advanced 攻击缓解措施的信息。有关信息,请参阅对 DDoS 事件的可见性

如果您已将自动缓解配置为使用BLOCK规则操作如果您遇到 Shield Advanced 部署的缓解规则的误报,则可以将规则操作更改为COUNT. 有关如何执行此操作的信息,请参阅更改用于自动缓解应用层 DDoS 的操作.

在更改规则操作设置时发生的情况

当您更改受保护资源的自动缓解规则操作设置时,Shield Advanced 会更新该资源的所有规则设置。它更新托管规则组中当前为资源设置的所有规则,并在创建新规则时使用新的操作设置。

更改操作设置可能需要几秒钟进行传播。在此期间,您可能会在使用规则组的某些地方看到旧设置,而在其他地方可能会看到新设置。

您可以在控制台的事件页面和应用层配置页面中更改自动缓解配置的规则操作设置。有关活动页面的信息,请参阅响应 DDoS 事件. 有关配置页的信息,请参阅配置应用层 DDoS 保护.

攻击消退时 Shield Advanced 如何管理缓解措施

当 Shield Advanced 确定不再需要为特定攻击部署的缓解规则时,它会将其从 Shield Advanced 缓解规则组中移除。

缓解规则的删除不一定与攻击的结束同时发生。Shield Advanced 监控它在你的受保护资源上检测到的攻击模式。它可以通过保留针对首次发生攻击而部署的规则,主动防御带有特定签名的攻击再次发生。根据需要,Shield Advanced 会延长维持规则的时间窗口。这样,Shield Advanced 可以在反复攻击影响您的受保护资源之前,使用特定签名缓解反复的攻击。

在禁用自动缓解时发生的情况

当你禁用资源的自动缓解功能时,Shield Advanced 会执行以下操作:

  • 停止自动响应 DDoS 攻击— Shield Advanced 停止对该资源的自动响应活动。

  • 从 Shield Advanced 规则组中移除不需要的规则— 如果 Shield Advanced 代表受保护资源维护其托管规则组中的任何规则,则会将其删除。

  • 如果 Shield Advanced 规则组不再使用,则将其移除— 如果您与该资源关联的 Web ACL 未与任何其他启用自动缓解的资源相关联,Shield Advanced 会将其规则组引用语句从 Web ACL 中删除。