应用程序层事件详细信息 - Amazon WAFAmazon Firewall Manager、和 Amazon Shield Advanced
检测和缓解排名靠前的贡献者
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

应用程序层事件详细信息

您可以在事件控制台页面的底部查看有关应用程序层事件的检测、缓解和主要贡献者的详细信息。此部分可能包括合法流量和潜在有害流量的组合,可能既代表传递到受保护资源的流量,也可能代表被 Shield Advanced 缓解措施屏蔽的流量。

缓解详细信息适用于 Web ACL 中与资源关联的所有规则,包括专门为响应攻击而部署的规则和在 Web ACL 中定义的基于速率的规则。如果您为应用程序启用自动应用层 DDoS 缓解,则缓解指标将包括这些额外规则的指标。有关这些应用层保护的信息,请参阅Amazon Shield Advanced 应用层(第 7 层)保护

检测和缓解

对于应用层(第 7 层)事件,“检测和缓解” 选项卡显示基于从 Amazon WAF 日志中获取的信息的检测指标。缓解指标基于关联 Web ACL 中的 Amazon WAF 规则,这些规则配置为阻止不需要的流量。

对于亚马逊 CloudFront 分配,您可以将 Shield Advanced 配置为自动为您应用缓解措施。对于任何应用程序层资源,您都可以选择在 Web ACL 中定义自己的缓解规则,也可以向 Shield 响应小组 (SRT) 请求帮助。有关这些选项的信息,请参阅 响应 DDoS 事件

以下屏幕截图显示了应用程序层事件的检测指标示例,该事件在数小时后消退。

检测指标图表显示了从 11:30 到 16:00 消退的请求泛洪流量检测情况。

在缓解规则生效之前消退的事件流量不会显示在缓解指标中。这可能会导致检测图中显示的 Web 请求流量与缓解图表中显示的允许和阻止指标之间存在差异。

排名靠前的贡献者

应用层事件的热门贡献者选项卡显示 Shield 根据检索到的 Amazon WAF 日志为该事件确定的前 5 个贡献者。Shield 按来源 IP、来源国家和目标 URL 等维度对排名靠前的贡献者的信息进行分类。

注意

要获得有关导致应用层事件的流量的最准确信息,请使用日 Amazon WAF 志。

Shield 应用程序层排名靠前的贡献者信息应仅用于大致了解攻击的性质,不要据此做出安全决策。对于应用层事件, Amazon WAF 日志是了解攻击的起因者和制定缓解策略的最佳信息来源。

Shield 贡献率最高的信息并不总是能完全反映 Amazon WAF 日志中的数据。在摄取日志时,Shield 优先考虑减少对系统性能的影响,而不是从日志中检索完整的数据集。这可能会导致 Shield 可用于分析的数据的粒度丢失。在大多数情况下,大多数信息都是可用的,但是对于任何攻击,排名靠前的贡献者数据都可能在一定程度上存在偏差。

以下屏幕截图显示了应用程序层事件的排名靠前的贡献者选项卡示例。

应用程序层事件的排名靠前的贡献者选项卡描述了许多 Web 请求特征的前 5 名贡献者。屏幕显示前 5 个来源 IP 地址、前 5 个目标 URL、前 5 个来源国家/地区和前 5 个用户代理。

贡献者信息基于对合法流量和潜在有害流量的请求。数据量较大的事件和请求源分布不高的事件更有可能具有可识别的排名靠前的贡献者。显著分布式攻击可能有多种来源,因此很难确定攻击的主要贡献者。如果 Shield Advanced 未识别出特定类别的重要贡献者,则会将数据显示为不可用。