响应 DDoS 事件 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

响应 DDoS 事件

Amazon 自动处理第 3 层和第 4 层 DDoS 攻击。如果您使用高级保护您的 Amazon EC2 实例,在攻击期间,Shield Advanced 会自动将您的 Amazon VPC 网络 ACL 部署到Amazon网络。这使得 “高级护 Shield” 能够针对较大的 DDoS 事件提供保护。有关网络 ACL 的更多信息,请参阅网络 ACL

如果 CloudWatch 中的 DDoS 警报指示可能存在第 7 层攻击,您可以选择以下选项:

  • 自己调查和缓解攻击。如果您确定该活动属于 DDoS 攻击,您可以创建自己的 Amazon WAF 规则来缓解攻击。Amazon WAF 随 Amazon Shield Advanced 提供,没有任何额外费用。Amazon 提供了预配置的模板,旨在帮助您快速入门。这些模板包含一组 Amazon WAF 规则,设计用于阻止基于 Web 的常见攻击。您可以通过自定义规则来满足自己的业务需求。有关更多信息,请参阅 Amazon WAF 安全自动化创建 Web ACL

    如果您使用Amazon Firewall Manager,您可以将这些规则添加到 Firewall ManagerAmazon WAF政策。

  • 如果您是Amazon Shield Advanced客户,您也可以选择联系Amazon Web Services SupportCenter以获取缓解方面的帮助。重大和紧急案例将直接转给 DDoS 专家。与Amazon Shield Advanced,复杂的案例可以升级到AmazonShield 响应团队 (SRT),具有丰富的保护经验Amazon、卓越亚马逊及其子公司。有关 SRT 的更多信息,请参阅这些区域有:AmazonShield 响应小组.

    要获得 Shield 响应团队 (SRT) 支持,请联系Amazon Web Services SupportCenter. 选择以下选项:

    • 案例类型:技术支持

    • Service (服务):分布式拒绝服务 (DDoS)

    • 类别:入站到Amazon

    • 严重性:选择合适的选项

    当与我们的代表讨论时,请说明您是Amazon Shield Advanced客户遇到可能的 DDoS 攻击。我们的代表会将您的电话转给适当的 DDoS 专家。如果您使用Amazon Web Services SupportCenter使用分布式拒绝服务 (DDoS)服务类型,您可以通过聊天或电话直接与 DDoS 专家交流。DDoS 支持工程师可以帮助您识别攻击、建议对 Amazon 架构的改进,并提供关于使用 Amazon 服务缓解 DDoS 攻击的指导。

    重要

    对于第 7 层攻击,SRT 可帮助您分析可疑活动,然后协助您缓解问题。此缓解通常需要 SRT 创建或更新Amazon WAFWeb 访问控制列表 (Web ACL)。但是,他们需要您的授权才能执行此操作。我们建议作为启用Amazon Shield Advanced,您可以按中的步骤操作。第 5 步:配置AmazonSRT 支持以主动向 SRT 提供所需的权限。提前提供授权有助于防止在实际发生攻击时耽误问题的解决。

    您也可以在可能的攻击前或在攻击期间联系 SRT,以便开发和部署自定义缓解措施。例如,如果您正在运行一个 Web 应用程序且只需打开端口 80 和 443,您可以与 SRT 一起预先配置一个 Web ACL,只 “允许” 打开端口 80 和 443。

    您在账户级别授权和联系 SRT。也就是说,如果您在 Firewall Manager 员 Shield Advanced 策略内使用高级护盾,账户所有者,而不是防火墙管理员必须联系 SRT 以获得支持。Firewall Manager 管理员只能为他们拥有的帐户联系 SRT。