全新的 AWS WAF AntiDDoS 托管规则

AWS 用户在云端的安全是我们最高优先的重点。我们相信只有在可信赖的云端环境，才能带给客户成功与信任。 AWS 在抵御 DDoS 的领域持续深耕，随着技术的发展，DDoS 的攻击手段也持续的进化。 在过去，DDoS 的协议从底层的 L3/L4 攻击，逐渐转向应用层的 HTTP/HTTPS 协议攻击。此外，攻击特征也不再是单调的固定重复请求，而是模拟真实用户的流量，并且随着您的防御规则动态改变攻击模式。

这篇文章我将为您介绍，AWS 在侦测和缓解 HTTP DDoS 攻击方面的解决方案。客户使用 AWS 解决方案来应对不断变化的 DDoS 威胁情势时面临的挑战，另外将为您介绍，全新推出的 AWS WAF AntiDDoS 托管规则 AWSManagedRule (AMR) 功能。

基于 AWS WAF 的 AntiDDoS 常用自动化工具

在过去 10 年，AWS 持续在 HTTP 层的 DDoS 解决方案深耕。AWS 在 2016 年推出了 AWS Web Application Firewall (WAF)，提供客户在 Amazon CloudFront、Application Load Balancer (ALB)、AWS API Gateway 等服务的防火墙解决方案，帮助客户抵御来自 HTTP 层级的安全威胁。 AWS WAF 可以在 WAF Web Access Control List (WebACL) 中，提供各式的 HTTP 请求参数（请求标头、查询串、Cookie）来自定义过滤规则以外，特别对应 DDoS 的场景我们还推荐您使用以下的自动化的工具：

• 基于速率的规则（Rate-based rules）- 这是 AWS WAF 对抗 DDoS 最有效的功能之一，您可以设定一个阈值，例如在特定时间窗内（如 5 分钟）限制单一 IP 地址的请求数量。
• IP 声誉规则组（Amazon IP Reputation）- 由 AWS 威胁研究团队维护的 IP 地址集。这些规则基于 Amazon 大量的数据和安全分析，识别出那些已知有恶意或高风险的 IP 地址。
• 基于 Shield Advanced 应用层 DDoS 自动缓解（L7AM）解决方案 – 在 2021 年，我们为 Shield Advanced 客户提供应用层 DDoS 自动缓解（Layer 7 Auto Mitigation）的解决方案。L7AM 机制将学习您过去 24 小时到 30 天的流量特征并建立模型基线。根据模型比较当前的流量，主动侦测 DDoS 攻击事件并自动为您部署抵御 DDoS 的 WAF 规则，从事先建立学习模型、DDoS 事件侦测到自动缓解，全程无需人工操作。

全新的 AWS WAF AntiDDoS 托管规则

除了上述提到的 L7AM 自动缓解之外，我们这次推出全自动化的 AWS WAF AntiDDoS 托管规则（AWS WAF AntiDDoS AMR），来应对更快速且短周期的 DDoS 攻击场景。这个全新的 AntiDDoS 管理规则可以提供更快速的秒级侦测与响应时间、更高精准度与更加弹性的配置，并且同样不需要人工手动干预。此外，我们还提供全新 WAF AntiDDoS Dashbaord 视觉化介面，帮助您的团队容易且及时地掌握 DDoS 事件。 以下我们将为您逐一介绍 WAF AntiDDoS AMR 的特色功能：

以 AWS Challenge 为核心的风险管控：

AWS WAF AntiDDoS AMR 以 Challenge 作为主要的缓解方案，来管理具有风险的时段或请求。

• AWS WAF Challenge：中文称为静默质询，确认用户端是否是合法的浏览器。针对可疑的请求发起 Challenge 验证，AWS WAF 将提供特殊的 JavaScript 在后台执行计算 Token（Proof of work），并且为用户验证 Token 的合法性。 这个方法可以有效区别合法浏览器与恶意攻击软件，但是对于用户仅有轻微延迟影响。具体的 Challenge 与 Token 的工作原理，您可以参考这个文件。
• AntiDDoS AMR 默认以 Challenge 为核心，对可疑的用户 IP 请求发起 Challenge 行动。通过验证的用户 IP 将会有默认 300 秒的免疫时间。 您可以在 WebACL 层级修改默认的免疫时间。

侦测敏感度调整：

AntiDDoS AMR 将透过三种 Low / Medium / High 敏感度模型评估每一个 DDoS 请求风险。我们提供您自订敏感度，将请求分类成以下两种类型：

• 软性缓解流量（ChallengeDDoS）：默认使用高敏感度，减少误放。采取软性的缓解 Challenge 验证，减少误放同时最小化缓解对于正常用户的影响。
• 硬性缓解流量（BlockingDDoS）：默认使用低敏感度，减少误杀。仅最高风险的流量被直接阻挡。

建议您使用默认配置，根据误杀、误放与用户体验指标再调整敏感度。

DDoS 攻击响应行动：

在攻击事件发生时，您可以针对软性缓解和硬性缓解两个流量群，采取默认或自定义的缓解行动。自订缓解策略支持：Count、Challenge、Block 或 CAPTCHA（仅限 DDoSRequests）。

• Soft Mitigation 软性缓解（正常 / 轻度可疑 / 中度可疑流量）
  • ChallengeAllDuringEvent：默认为 Challenge。在攻击事件当下，所有的用户都会受到软性缓解。
  • ChallengeDDoSRequests：默认为 Challenge。如果您的场景对于延迟非常敏感，建议您在 ChallengeAllDuringEvent 配置为 Count。如此，在攻击事件当下，仅对有风险的请求进行软性缓解，正常用户则完全不受影响。
• Hard Mitigation 硬性缓解（非常可疑流量）
  • DDoSRequests：在攻击事件当下，对于非常可疑的高风险来源，默认采取 Block 行动。

定义 Challenge URI 例外路径

有部分的请求路径，不支持 Challenge 或 CAPTCHA 等验证方式（例如：*.jpg 或 /api/ 等）。对于这类不支持 Challenge 路径，我们提供默认的正则表达式例外处理不支持 Challenge 的路径。

WAF AntiDDoS AMR 标签

AWS WAF 可以使用标签功能，让您在不同的规则之间可以传递匹配结果或参数。在 AntiDDoS AMR 也提供多种类型的 DDoS 识别标签（awswaf:managed:aws:anti-ddos）。当您的请求通过 AntiDDoS AMR 规则时，这些请求将会根据情况被添加以下标签。

• 可疑程度分类标签：
  • high-suspicion-ddos-request：非常可疑 DDoS 请求
  • medium-suspicion-ddos-request：中等可疑的 DDoS
  • low-suspicion-ddos-request：轻度可疑的 DDoS 请求
• 缓解标签：
  • ChallengeAllDuringEvent：在攻击期间，除了硬性缓解的流量以外的请求，都会获得这个标签。
  • ChallengeDDoSRequests：在攻击期间，被归类为 ChallengeDDoSRequests 的请求都会获得这个标签。
  • DDoSRequest：在攻击期间，所有被归类为硬性缓解的请求，都会获得这个标签。
• DDoS 事件标签
  • challengeable-request：在攻击期间，根据 Challenge URI 例外路径配置，没有被 ExemptURIRegex 匹配的请求可以获得此标签。
  • event-detected：在攻击期间，所有请求都会获得这个标签。
  • ddos-request：在攻击期间，任何被模型识别为可疑请求（轻、中、非常可疑）都会获得这个标签。

您可以根据这些标签在后续的规则中，加入额外匹配逻辑和行动规则，提供您最大弹性制定适合您使用情境的缓解策略。

推出全新的 AWS WAF 控制台

AntiDDoS 控制台

AWS WAF Web ACL 提供流量概览控制台，让您能够更好地洞察当前的安全威胁。根据仪表板提供的见解做出决策。伴随 AntiDDoS AMR 推出，现在有了一个专为新规则打造的 AntiDDoS 专用的控制台。

在控制台上，您可以获取指定时间段内对请求采取的 DDoS 缓解行动、规则匹配数据、WAF 资源分配、攻击方分配，帮助您以迅速评估您的网路资源中的目标。

基于 CloudWatch 日志的统计报告

如果您有配置将 AWS WAF 日志发送到 CloudWatch Logs，则直接使用 Top insights 表格，用户地理位置、访问国家、URI 路径客户端 IP、TLS JA3/JA4 指纹、用户装置类型等等属性。 CloudWatch 中可用的资源级指标允许您分析趋势和数据，以推断或改进规则集的有效性。

WAF AntiDDoS AMR 成本分析

对于被 AntiDDoS AMR 缓解的请求（Count 除外）将不会收取额外费用。除了基本的 AWS WAF 收费项目以外，将额外收取以下的费用：

一般 AWS WAF 用户

除了基本的 WAF 标准费用以外，您将会被 WAF AntiDDoS AMR 额外收取以下两种费用：

• WebACL 使用费：20 USD / 月（以小时为单位计费)
• Request 请求处理费：0.15 USD / 百万请求

AWS Shield Advanced 订阅用户

当资源在 Shield Advanced 保护列表时，使用以下收费

• WebACL 使用费：0 USD/月（包含在 Shield Advanced 中）
• Request 请求处理费：
  • 每月前 500 亿请求：0（包含在 Shield Advanced 中）
  • 每月超过 500 亿的请求：0.15 USD / 百万请求（2025 / 06 / 12 以前的订阅用户，在 2025 年 10 月以前的帐单此项目免收费）

关于 AWS WAF AntiDDoS AMR 的常见问题

Q1：我该如何配置 AWS WAF AntiDDoS AMR 优先级顺序？

为了让自动缓解机器可以学习到最完整的流量特征，建议您将 WAF AntiDDoS AMR 置于最高优先级，如有特殊例外再额外配置。

Q2：我应该要在 WAF AntiDDoS AMR 使用 ScopeDown 的功能吗？

为了确保托管规则记录您所有的流量特征，除非特殊必要，否则不建议您使用 ScopeDown。

Q3：我在受 DDoS 攻击的当下才加入 WAF AntiDDoS AMR 是否可以立即缓解攻击？

不建议。WAF AntiDDoS AMR 需要 15 分钟学习正常的流量特征，这些攻击流量将会污染模型。被污染的模型需要 24 小时以上才可以完全排除污染。

Q4：对于 Shield Advanced 用户，DDoS 攻击期间 AntiDDoS AMR 产生的费用（例如 Count 模式）是否可以索取 AWS Credit？

不行。WAF AntiDDoS AMR 不包含在 Shield Advanced 费用保护条款中。

Q5：AWS WAF 推出 AntiDDoS AMR 后，我还需要订阅 Shield Advanced 吗？

WAF AntiDDoS AMR 仅支持 HTTP 的协议。如果您的架构（EIP、Global Accelerator、NLB 等）仍然需要进阶的 Layer 3 / Layer 4 防御功能，例如：DDoS 事件侦测告警、SRT 主动响应支持或自订缓解，您仍然需要订阅 Shield Advanced 获得完整的的保护。 对于只需要 HTTP 防护的客户，建议您参考以下的比较表，另外您需要试算 WAF 与 Shield Advanced 成本，选择对您成本最有利的方案。具体成本试算细节建议您联系 AWS 销售或 AWS 架构师代表。

Q6：我该如何选择 WAF AntiDDoS AMR 还是使用 Shield Advanced L7AM？

这两种都是 AWS 提供的全自动的 7 层 HTTP DDoS 缓解实践，您可以根据以下的表格比较这两个功能的差异。 如果您没有特殊的 L7AM 的功能需求，我们推荐您优先使用新的 WAF AntiDDoS AMR。

结论

全新的 AWS WAF AntiDDoS 托管规则为客户提供了更加精确且灵活的 HTTP 层 DDoS 防护方案，能有效应对现今日益复杂且不断演变的 DDoS 攻击型态。透过本文介绍，我们详细探讨了 AntiDDoS AMR 的核心功能，包括不同敏感度的侦测类型、Challenge 机制的应用与例外处理、多样化的攻击响应策略，以及弹性的标签功能，让您能够建立更精细的防护架构。

AWS WAF AntiDDoS 托管规则设计为易于部署且高度自订，适合大多数 Web 应用防护需求，尤其适用于追求快速响应与精准防护的场景。若您需要更全面的 DDoS 防护方案，包括专业团队支援，则可考虑搭配 AWS Shield Advanced 以获得更完整的保护。欲了解更多资讯，请参阅 AWS WAF AntiDDoS 托管规则官方文档。

本篇作者