查看 DDoS 事件 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

查看 DDoS 事件

监控 Amazon 中的威胁

使用Amazon Shield全球威胁控制面板,可查看有关 DDoS 威胁情形的趋势和指标,跨 Amazon EC2 CloudFront、Elastic Load Balancing 和 Amazon Route 53。

全局威胁控制面板提供了近乎实时的全局威胁控制面板Amazon威胁情形,其中包括最大规模的事件、重要事件载体以及重大事件的相对数量。您可以自定义不同时长的控制面板视图,以便查看重大 DDoS 事件的历史记录。

注意

此处提供的控制台指南适用于Amazon Shield控制台,于 2020 年发布。在控制台中,您可以在不同版本之间切换。

若要查看全局威胁控制面板

  1. 登录到Amazon Web Services Management Console,然后打开Amazon WAF Shield 控制台 (位于)https://console.aws.amazon.com/wafv2/.

  2. Amazon Shield导航栏,选择全球威胁控制面板.

  3. 选择一个时间段。

您可以使用全球威胁控制面板上的信息,更好地了解威胁情形并帮助您做出决策,以更好地保护您的Amazon资源的费用。

Shield 高级指标和报告

Amazon Shield Advanced提供实时指标和报告,以便全面了解您的Amazon资源的费用。

这些指标和报告仅适用于 Amazon Shield Advanced 客户。要激活 Amazon Shield Advanced,请参阅订阅 Amazon Shield Advanced

您可以查看有关事件的近乎实时的指标,包括以下指标:

  • Event type

  • 开始时间

  • Duration

  • 每秒阻塞的位数或数据包数

  • 每秒传递的位数或数据包数

  • 源 IP 地址和目标 IP 地址

  • 协议

  • 资源 ASN

  • TCP 标志

可供查看有关活跃事件和最近 12 个月内发生的事件的详细信息。

此外,Amazon Shield Advanced可让您了解在举行活动时您的整体流量。您可以查看最常见的详细信息:

  • IP 地址

  • URL

  • 引用站点

  • ASN

  • 国家/地区

  • 用户代理

使用此信息来创建 Amazon WAF 规则,以帮助防止未来的攻击。例如,如果您发现您有大量的请求来自一个您通常不开展业务的国家/地区,则可以创建一个 Amazon WAF 规则来阻止来自该国家/地区的请求。

除了此处描述的指标和报告之外,您还可以在概述页面下过去一年的事件摘要.

注意

此处提供的控制台指南适用于Amazon Shield控制台,于 2020 年发布。在控制台中,您可以在不同版本之间切换。

若要查看 DDoS 事件

  1. 登录到Amazon Web Services Management Console,然后打开Amazon WAF Shield 控制台 (位于)https://console.aws.amazon.com/wafv2/.

  2. Amazon Shield导航栏,选择事件.

这些区域有:事件页面提供了以下事件可能的当前状态:

正在进行缓解

指示已识别可能的第 3 层或第 4 层事件,并且Amazon正在尝试解决此问题。

已缓解

指示已识别可能的第 3 层或第 4 层事件。Amazon回应了事件,它似乎已经结束。

已识别(持续)

表示已确定可能存在的第 7 层事件。Amazon无法处理第 7 层事件,因此您必须设计您自己的图层缓解流程。有关响应可能的第 7 层事件的更多信息,请参阅响应 DDoS 事件.

已识别(已平息)

指示已识别可能的第 7 层事件,并且似乎已平息事件。

如果您确定可能发生的事件正在 Shield 行中,您可以通过Amazon Web Services SupportCenter,或通过创建新的 Web 访问控制列表 (Web ACL) 自行缓解事件。

这些区域有:事件页面还包含用于检测和缓解事件以及事件期间最大贡献者的其他详细信息的选项卡。

侦测和缓解操作

这些区域有:侦测和缓解操作选项卡显示的图形显示Amazon Shield在报告此事件以及所放置的任何缓解措施的影响之前进行评估。它还为您自己的 Amazon Virtual Private Cloud VPC 中的资源提供基础架构层分布式拒绝服务 (DDoS) 事件和Amazon Global Accelerator加速器。亚马逊 CloudFront 或亚马 Amazon Route 53 资源不包含检测和缓解指标。

Amazon Shield会沿多个维度评估到受保护资源的流量。当检测到异常时,Shield 会创建一个事件并报告观察到异常的流量维度。如果受保护的资源是弹性 IP 地址、标 Classic Load Balancer 器 (CLB)、Application Load Balancer 器或全局加速器加速器,则 Shield 会自动为受保护的资源创建缓解。这样可以防止您的资源接收过多的流量和接收与已知 DDoS 事件签名匹配的流量。

您可能会注意到检测图表中显示的流量与缓解图表上报告的通过和丢弃量度之间存在差异。如果导致事件的流量在创建缓解之前消退,则此流量不会显示在缓解衡量指标中。检测指标中的第一个数据点与缓解衡量指标中的第一个数据点之间的时差是事件检测和缓解之间的延迟。检测指标基于采样的网络流,而缓解指标则基于缓解系统观察到的流量。缓解指标是对流入资源的流量进行更精确的衡量。在过剩流量消退后,SRT 可能会留下缓解措施。Shield 可能会对经常成为目标的资源保持长时间运行的缓解措施。

顶级参与者

这些区域有:顶级参与者选项卡提供了有关在检测到的事件期间流量来自何处的深入信息。您可以查看最大卷贡献者,按协议、源端口和 TCP 标志等方面排序。您可以下载信息,也可以调整使用的单位和要显示的贡献者数量。

顶级贡献者提供了额外的衡量指标维度,您可以使用这些指标维度来了解事件期间发送到资源的网络流量。这些指标基于合法流量和潜在有害流量的采样网络流量。您在指标中看到的部分或全部流量可能已传递到您的资源或被 Shield 阻止。

如果无法识别重要贡献者,则指标的顶级贡献者数据可能不可用。更有可能具有最大贡献者指标的事件是大量事件和流量源不高度分布的事件。

请记住,源 IP 地址和源 ASN 等源属性可能会被欺骗或反映。在 DDoS 事件中,欺骗数据包很常见,攻击者想要模糊流量的真实来源。在 DDoS 事件中,反射数据包很常见,攻击者希望通过反映 Internet 上通常合法的服务攻击来生成更大、扩大的流量泛滥到目标。在这些情况下,源 IP 地址或源 ASN 是有效的,但它们并不是攻击的实际来源。

缓解潜在的 DDoS 攻击

  1. 在 Amazon WAF 中创建与异常行为匹配的条件。

  2. 将这些条件添加到一个或多个 Amazon WAF 规则中。

  3. 将这些规则添加到 Web ACL 并将该 Web ACL 配置为对与规则匹配的请求计数。

    注意

    您应该始终首先使用 Count 而不是 Block 来测试规则。在您认为新规则能确定正确的请求后,就可以修改规则以阻止这些请求。

  4. 监控这些计数,以确定是否应阻止请求的来源。如果请求量仍然异常高,请更改您的 Web ACL 以阻止这些请求。

    有关更多信息,请参阅创建 Web ACL

Amazon 提供了预配置的模板,旨在帮助您快速入门。这些模板包含一组 Amazon WAF 规则,可供您进行自定义或用于阻止基于 Web 的常见攻击。有关更多信息,请参阅 Amazon WAF 安全自动化