Direkt zum Inhalt
Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post
Über re:Post

Wie verwende ich AWS WAF, um DDoS-Angriffe abzuwehren?

Lesedauer: 10 Minute
0

Ich möchte das AWS-WAF-Schutzpaket verwenden, um Distributed Denial of Service (DDoS)-Angriffe auf Anwendungsebene abzuwehren.

Kurzbeschreibung

Gehe wie folgt vor, um AWS WAF als primäre Abwehr gegen DDoS-Angriffe auf Anwendungsebene zu verwenden:

  • Verwende ratenbasierte Regeln.
  • Frage die AWS-WAF-Protokolle ab, um spezifische Informationen über nicht autorisierte Aktivitäten zu sammeln.
  • Erstelle eine Regel für geografische Übereinstimmung, um ungültige Anforderungen aus einem Land zu blockieren, das für das Unternehmen nicht erwartet wird.
  • Erstelle eine IP-Satz-Übereinstimmungsregel, um ungültige Anforderungen zu blockieren.
  • Erstellen eine Zeichenfolge-Übereinstimmungsregel, um ungültige Anforderungen zu blockieren.
  • Erstelle eine Regex-Übereinstimmungsregel, um ungültige Anforderungen zu blockieren.
  • Schalte Bot Control ein und verwende die gezielte Schutzstufe.
  • Verwende die verwaltete Regelgruppe der Amazon IP-Reputationsliste.

Verwende für Angriffe auf Infrastrukturebene AWS-Services wie Amazon CloudFront und Elastic Load Balancing (ELB), um automatischen DDoS-Schutz bereitzustellen. Weitere Informationen findest du unter Bewährte AWS-Methoden für DDoS-Resilienz. Du kannst auch AWS Shield Advanced Automatic Application Layer verwenden, um ausgeklügelte Angriffe abzuwehren, z. B. Layer 3–7. Weitere Informationen findest du unter Automatisieren der DDoS-Abwehr auf Anwendungsebene mit Shield Advanced.

Lösung

Ratenbasierte Regeln verwenden

Eine pauschale ratenbasierte Regel erstellen

Verwende eine pauschale ratenbasierte Regel, um einen Schwellenwert für die Anzahl der Anforderungen festzulegen, die IP-Adressen an die Webanwendung stellen können.

Führe die folgenden Schritte aus:

  1. Öffne die AWS-WAF-Konsole.
  2. Wähle für „Region“ die AWS-Region aus, in der du das Schutzpaket erstellt hast.
  3. Wähle im Navigationsbereich Ressourcen und Schutzpakete aus.
  4. Wähle auf der rechten Seite des Schutzpakets das Symbol neben dem Namen der Region aus, um das Schutzpaket auszuwählen.
  5. Wähle in deinem ausgewählten Schutzpaket die Option Regeln aus.
  6. Wähle neben Regeln die Option Anzeigen und bearbeiten aus, um die mit deinem Schutzpaket verknüpften Regeln anzuzeigen oder zu ändern.
  7. Wähle im rechten Bereich für „Regeln verwalten“ die Option Regeln hinzufügen aus.
  8. Wähle Benutzerdefinierte Regel und dann Weiter aus.
  9. Wähle Ratenbasierte Regel und dann Weiter aus.
  10. Konfiguriere die folgenden Werte, um die Regel einzurichten:
    Wähle unter Aktion die Option Blockieren aus.
    Gib unter Name einen Regelnamen ein.
    Gib für Ratenlimit eine Zahl zwischen 10 und 2 000 000 000 ein.
    Hinweis: Wenn du dir nicht sicher bist, welches Ratenlimit du festlegen sollst, verwende die Regelaktion, um die Anforderungsmuster zu zählen und zu überwachen. Lege dann ein Ratenlimit fest, das auf der Baseline basiert.
    Gib für Fenster „Bewertung“ 1, 2, 5 oder 10 Minuten ein.
    Im Dropdown-Menü des Regelkonfigurationsblocks:
    Wähle für IP address to use for rate limiting (IP-Adresse, die für die Ratenbegrenzung verwendet werden soll), die Quell-IP-Adresse oder IP-Adresse im Header aus.
    Hinweis: Nachdem du eine Änderung der Anforderungsrate eingereicht hast, kann es zu Verzögerungen kommen, bis AWS WAF die Regelaktion anwendet oder entfernt.
    Wähle unter Scope of inspection (Prüfungsumfang) die Option Alle Anforderungen berücksichtigen aus.
  11. Wähle Regel erstellen aus.

Eine ratenbasierte Regel mit benutzerdefiniertem Schlüssel (URI-Pfad) erstellen

Führe die folgenden Schritte aus:

  1. Öffne die AWS-WAF-Konsole.
  2. Wähle für „Region“ die AWS-Region aus, in der du das Schutzpaket erstellt hast.
  3. Wähle im Navigationsbereich Ressourcen und Schutzpakete aus.
  4. Wähle auf der rechten Seite des Schutzpakets das Symbol neben dem Namen der Region aus, um das Schutzpaket auszuwählen.
  5. Wähle in deinem ausgewählten Schutzpaket die Option Regeln aus.
  6. Wähle neben Regeln die Option Anzeigen und bearbeiten aus, um die mit deinem Schutzpaket verknüpften Regeln anzuzeigen oder zu ändern.
  7. Wähle im rechten Bereich für „Regeln verwalten“ die Option Regeln hinzufügen aus.
  8. Wähle Benutzerdefinierte Regel und dann Weiter aus.
  9. Wähle Ratenbasierte Regel und dann Weiter aus.
  10. Konfiguriere die folgenden Werte, um die Regel einzurichten:
    Wähle unter „Aktion“ die Option Blockieren aus.
    Gib unter Name einen Regelnamen ein.
    Gib für Ratenlimit eine Zahl zwischen 10 und 2 000 000 000 ein.
    Hinweis: Wenn du dir nicht sicher bist, welches Ratenlimit du festlegen sollst, verwende die Regelaktion, um die Anforderungsmuster zu zählen und zu überwachen. Lege dann ein Ratenlimit fest, das auf der Baseline basiert.
    Gib für Fenster „Bewertung“ 1, 2, 5 oder 10 Minuten ein.
    Im Dropdown-Menü des Regelkonfigurationsblocks:
    Wähle unter „Regelkonfiguration“ die Option Benutzerdefinierte Schlüssel aus.
  11. Wähle für Request aggregation keys (Anforderungsaggregationsschlüssel) die Option URI-Pfad aus.
  12. Wähle unter Text transformations (Texttransformationen) die Option Keine.
    Hinweis: Nachdem du eine Änderung der Anforderungsrate eingereicht hast, kann es zu Verzögerungen kommen, bis AWS WAF die Regelaktion anwendet oder entfernt.
    Wähle unter Scope of inspection (Prüfungsumfang) die Option Alle Anforderungen berücksichtigen aus.
  13. Wähle Regel erstellen aus.

Weitere Informationen findest du unter Die drei wichtigsten ratenbasierten AWS-WAF-Regeln.

Die AWS-WAF-Protokolle abfragen, um spezifische Informationen über nicht autorisierte Aktivitäten zu sammeln

Aktiviere die AWS-WAF-Protokollierung. Frage dann die AWS-WAF-Protokolle ab, um DDoS-Szenarien zu untersuchen.

Du kannst die folgenden AWS-Services verwenden, um AWS-WAF-Protokolle abzufragen:

Den Amazon-Athena-Protokoll-Parser oder den AWS-Lambda-Protokoll-Parser verwenden

AWS WAF hat ein akzeptables Mindestratenlimit für ratenbasierte Regeln. Wenn du aufgrund des geringen Volumens keine ratenbasierten Regeln verwenden kannst oder eine anpassbare Blockdauer benötigst, verwende einen Protokoll-Parser in Athena oder Lambda. Beide Services sind in Security Automations für AWS WAF verfügbar.

Eine Regelanweisung für geografische Übereinstimmung erstellen, um ungültige Anforderungen aus einem Land zu blockieren, das für das Unternehmen nicht erwartet wird

Führe die folgenden Schritte aus:

  1. Öffne die AWS-WAF-Konsole.
  2. Wähle für „Region“ die AWS-Region aus, in der du das Schutzpaket erstellt hast.
  3. Wähle im Navigationsbereich Ressourcen und Schutzpakete aus.
  4. Wähle auf der rechten Seite des Schutzpakets das Symbol neben dem Namen der Region aus, um das Schutzpaket auszuwählen.
  5. Wähle in deinem ausgewählten Schutzpaket die Option Regeln aus.
  6. Wähle neben Regeln die Option Anzeigen und bearbeiten aus, um die mit deinem Schutzpaket verknüpften Regeln anzuzeigen oder zu ändern.
  7. Wähle im rechten Bereich für „Regeln verwalten“ die Option Regeln hinzufügen aus.
  8. Wähle Geobasierte Regel aus.
  9. Konfiguriere die folgenden Werte, um die Regel einzurichten:
    Wähle für Regelaktion die Option Blockieren.
    Gib unter Name einen Regelnamen ein.
    Wähle unter „Anweisung“ die Ländercodes aus, die du blockieren möchtest.
  10. Wähle Regel erstellen aus.

Weitere Informationen findest du unter Regelanweisung für geografische Übereinstimmung.

Eine IP-Satz-Übereinstimmungsregel erstellen, um ungültige Anforderungen von bestimmten IP-Adressen zu blockieren

Führe die folgenden Schritte aus:

  1. Öffne die AWS-WAF-Konsole.
  2. Wähle für „Region“ die AWS-Region aus, in der du das Schutzpaket erstellt hast.
  3. Wähle im Navigationsbereich Ressourcen und Schutzpakete aus.
  4. Wähle auf der rechten Seite des Schutzpakets das Symbol neben dem Namen der Region aus, um das Schutzpaket auszuwählen.
  5. Wähle in deinem ausgewählten Schutzpaket die Option Regeln aus.
  6. Wähle neben Regeln die Option Anzeigen und bearbeiten aus, um die mit deinem Schutzpaket verknüpften Regeln anzuzeigen oder zu ändern.
  7. Wähle im rechten Bereich für „Regeln verwalten“ die Option Regeln hinzufügen aus.
  8. Wähle IP-basierte Regel und dann Weiter aus.
  9. Konfiguriere die folgenden Werte, um die Regel einzurichten:
    Wähle für Regelaktion die Option Blockieren.
    Gib unter Name einen Regelnamen ein.
    Aktiviere unter „Anweisung“ Vorhandenen IP-Satz verwenden und wähle den IP-Satz aus.
  10. Wähle Regel erstellen aus.

Weitere Informationen findest du unter Regelanweisung für IP-Satz-Übereinstimmung.

Eine Regelanweisung für eine Zeichenfolge-Übereinstimmung erstellen, um ungültige Anforderungen zu blockieren

Führe die folgenden Schritte aus:

  1. Öffne die AWS-WAF-Konsole.
  2. Wähle für „Region“ die AWS-Region aus, in der du das Schutzpaket erstellt hast.
  3. Wähle im Navigationsbereich Ressourcen und Schutzpakete aus.
  4. Wähle auf der rechten Seite des Schutzpakets das Symbol neben dem Namen der Region aus, um das Schutzpaket auszuwählen.
  5. Wähle in deinem ausgewählten Schutzpaket die Option Regeln aus.
  6. Wähle neben Regeln die Option Anzeigen und bearbeiten aus, um die mit deinem Schutzpaket verknüpften Regeln anzuzeigen oder zu ändern.
  7. Wähle im rechten Bereich für „Regeln verwalten“ die Option Regeln hinzufügen aus.
  8. Wähle Benutzerdefinierte Regel und dann Weiter aus.
  9. Wähle erneut Benutzerdefinierte Regel und wähle dann Weiter aus.
  10. Wähle für Regelaktion die Option Blockieren.
  11. Konfiguriere die folgenden Werte, um die Regel einzurichten:
    Gib unter Name einen Regelnamen ein.
    Wähle für Wenn eine Anfrage die Option match the statement (entspricht der Anweisung).
    Wähle für Untersuchen die Option Header aus.
    Gib für Name des Header-Felds den Namen des Bots ein, den du blockieren möchtest, so wie er in den AWS-WAF-Protokollen erscheint.
    Wähle für Art der Entsprechung die Option Entspricht der Zeichenfolge genau.
    Gib für Abzugleichende Zeichenfolge den Wert des Bots ein, den du blockieren möchtest, so wie er in den AWS-WAF-Protokollen erscheint.
  12. Wähle Regel erstellen aus.

Weitere Informationen findest du unter Regelanweisung für Zeichenfolge-Übereinstimmung.

Eine Regelanweisung für Regex-Übereinstimmung erstellen, um ungültige Anforderungen zu blockieren

Führe die folgenden Schritte aus:

  1. Öffne die AWS-WAF-Konsole.
  2. Wähle für „Region“ die AWS-Region aus, in der du das Schutzpaket erstellt hast.
  3. Wähle im Navigationsbereich Ressourcen und Schutzpakete aus.
  4. Wähle auf der rechten Seite des Schutzpakets das Symbol neben dem Namen der Region aus, um das Schutzpaket auszuwählen.
  5. Wähle in deinem ausgewählten Schutzpaket die Option Regeln aus.
  6. Wähle neben Regeln die Option Anzeigen und bearbeiten aus, um die mit deinem Schutzpaket verknüpften Regeln anzuzeigen oder zu ändern.
  7. Wähle im rechten Bereich für „Regeln verwalten“ die Option Regeln hinzufügen aus.
  8. Wähle Benutzerdefinierte Regel und dann Weiter aus.
  9. Wähle erneut Benutzerdefinierte Regel und wähle dann Weiter aus.
  10. Konfiguriere die folgenden Werte, um die Regel einzurichten:
    Wähle für Regelaktion die Option Blockieren.
    Gib unter Name einen Regelnamen ein.
    Wähle match the statement (entspricht der Anweisung) unter „Wenn eine Anfrage“
    Wähle für Untersuchen die Option URI-Pfad aus.
    Wähle für Art der Entsprechung die Option Entspricht dem regulären Ausdruck aus.
    Gib für Abzugleichende Zeichenfolge den Regex ein, den du blockieren möchtest.
    Wähle für Regelaktion die Option Blockieren.
  11. Wähle Regel erstellen aus.

Weitere Informationen findest du unter Regelanweisung für Regex-Übereinstimmung.

Bot Control aktivieren und die gezielte Schutzstufe verwenden

Die gezielte Schutzstufe für AWS WAF Bot Control verwendet eine Kombination aus Ratenbegrenzung und CAPTCHA- und Challenge-Aktionen, um die Bot-Aktivität zu verringern. Informationen zur Preisgestaltung der gezielten Bot Control findest du unter Fall F auf der Seite AWS-WAF-Preise.

Gehe wie folgt vor, um Bot Control und die gezielte Schutzstufe zu aktivieren:

  1. Öffne die AWS-WAF-Konsole.
  2. Wähle für „Region“ die AWS-Region aus, in der du das Schutzpaket erstellt hast.
  3. Wähle im Navigationsbereich Ressourcen und Schutzpakete aus.
  4. Wähle auf der rechten Seite des Schutzpakets das Symbol neben dem Namen der Region aus, um das Schutzpaket auszuwählen.
  5. Wähle in deinem ausgewählten Schutzpaket die Option Regeln aus.
  6. Wähle neben Regeln die Option Anzeigen und bearbeiten aus, um die mit deinem Schutzpaket verknüpften Regeln anzuzeigen oder zu ändern.
  7. Wähle im rechten Bereich für „Regeln verwalten“ die Option Regeln hinzufügen aus.
  8. Wähle AWS-verwaltete Regelgruppe und wähle Weiter aus.
  9. Wähle unter Zahlungspflichtig die Bot Control rule group (Bot-Control-Regelgruppe) aus.
  10. Wähle unter Überprüfungsstufe die Option Gezielt aus.
  11. Wähle Regel erstellen aus.

Die verwaltete Regelgruppe der Amazon-Liste zur Reputation von IP-Adressen verwenden

Die von AWSManagedIPReputationList verwaltete Regelgruppe verwendet interne Bedrohungsinformationen von Amazon, um IP-Adressen zu identifizieren, die aktiv an DDoS-Aktivitäten beteiligt waren.

Gehe wie folgt vor, um die verwaltete Regelgruppe der Amazon-Liste zur Reputation von IP-Adressen zu aktivieren:

  1. Öffne die AWS-WAF-Konsole.
  2. Wähle für „Region“ die AWS-Region aus, in der du das Schutzpaket erstellt hast.
  3. Wähle im Navigationsbereich Ressourcen und Schutzpakete aus.
  4. Wähle auf der rechten Seite des Schutzpakets das Symbol neben dem Namen der Region aus, um das Schutzpaket auszuwählen.
  5. Wähle in deinem ausgewählten Schutzpaket die Option Regeln aus.
  6. Wähle neben Regeln die Option Anzeigen und bearbeiten aus, um die mit deinem Schutzpaket verknüpften Regeln anzuzeigen oder zu ändern.
  7. Wähle im rechten Bereich für „Regeln verwalten“ die Option Regeln hinzufügen aus.
  8. Wähle AWS-verwaltete Regelgruppe und wähle Weiter aus.
  9. Wähle unter Free rules (Kostenlose Regeln) die Option AmazonIpReputationList.
  10. Wähle Regel erstellen aus.
Themen
Security, Identity, & Compliance
Tags
AWS WAF
Sprache
Deutsch
AWS OFFICIALAktualisiert vor 9 Monaten

Relevanter Inhalt