**Presentamos una nueva experiencia de consola para AWS WAF**

Ahora puede usar la experiencia actualizada para acceder a las AWS WAF funciones desde cualquier parte de la consola. Para obtener más información, consulte [Trabajar con la consola](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Respondiendo a DDo los eventos S en AWS
<a name="ddos-responding"></a>

En esta página, se explica cómo AWS responde a los ataques DDo S y se proporcionan opciones para seguir respondiendo.

AWS mitiga automáticamente los ataques DDo S de red y de transporte (capa 3 y capa 4). Si utiliza Shield Advanced para proteger sus EC2 instancias de Amazon, durante un ataque, Shield Advanced despliega automáticamente su red de Amazon VPC en el borde de AWS la ACLs red. Esto permite que Shield Advanced brinde protección contra eventos DDo S más grandes. Para obtener más información sobre la red ACLs, consulte [Red ACLs](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_ACLs.html).

En el caso de los ataques a nivel de aplicación (capa 7) DDo S, AWS intenta detectar y notificar a AWS Shield Advanced los clientes mediante CloudWatch alarmas. De forma predeterminada, no aplica mitigaciones automáticamente para evitar bloquear inadvertidamente el tráfico de usuarios válidos. 

En el caso de los recursos de la capa de aplicación (capa 7), dispone de las siguientes opciones para responder a un ataque. 
+ **Proporcionar sus propias mitigaciones**: puede investigar y mitigar el ataque por su cuenta. Para obtener información, consulte [Mitigación manual de un ataque a la capa DDo S de aplicación](ddos-responding-manual.md). 
+ **Ponerse en contacto con el servicio de asistencia**: si es cliente de Shield Avanzado, puede ponerse en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/) para obtener ayuda con las mitigaciones. Los casos críticos y urgentes se envían directamente a los expertos de DDo Estados Unidos. Para obtener información, consulte [Ponerse en contacto con el centro de soporte durante un ataque de capa DDo S de aplicación](ddos-responding-contact-support.md). 

Además, antes de que se produzca un ataque, puede activar de forma proactiva las siguientes opciones de mitigación: 
+ **Mitigaciones automáticas en las CloudFront distribuciones de Amazon**: con esta opción, Shield Advanced define y gestiona las reglas de mitigación para usted en su ACL web. Para obtener información sobre la mitigación automática de la capa de aplicaciones, consulte [Automatizar la mitigación de la capa DDo S de aplicación con Shield Advanced](ddos-automatic-app-layer-response.md). 
+ **Interacción proactiva**: cuando AWS Shield Advanced detecta un ataque de gran tamaño en la capa de aplicación contra una de sus aplicaciones, el SRT puede ponerse en contacto con usted de forma proactiva. El SRT clasifica el evento DDo S y crea mitigaciones. AWS WAF El SRT se pone en contacto con usted y, con su consentimiento, puede aplicar las reglas de AWS WAF . Para obtener más información acerca de esta opción, consulta [Configuración de una interacción proactiva para que el SRT se ponga en contacto con usted directamente](ddos-srt-proactive-engagement.md).

# Ponerse en contacto con el centro de soporte durante un ataque de capa DDo S de aplicación
<a name="ddos-responding-contact-support"></a>

Esta página proporciona instrucciones para ponerse en contacto con el centro de soporte durante un ataque a la capa de aplicación DDo S.

Si es AWS Shield Advanced cliente, puede ponerse en contacto con el [AWS Support Centro](https://console.aws.amazon.com/support/home#/) para obtener ayuda con las mitigaciones. Los casos críticos y urgentes se envían directamente a los expertos de EE. UU. DDo De AWS Shield Advanced este modo, los casos complejos se pueden remitir al AWS Shield Response Team (SRT), que tiene una amplia experiencia en la protección AWS de Amazon.com y sus subsidiarias. Para obtener más información sobre SRT, consulte [Respuesta a eventos DDo S gestionada con el soporte del Shield Response Team (SRT)](ddos-srt-support.md).

Para obtener asistencia del equipo de respuesta de Shield (SRT), póngase en contacto con el [Centro de AWS Support](https://console.aws.amazon.com/support/home#/). El tiempo de respuesta de su caso depende de la gravedad que seleccione y los tiempos de respuesta, que están documentados en la página [Planes de AWS Support](https://aws.amazon.com/premiumsupport/compare-plans/).

Seleccione las siguientes opciones:
+ Tipo de caso: soporte técnico
+ Servicio: Denegación de servicio distribuida DDo
+ Categoría: Entrante a AWS
+ Gravedad: *elija la opción correspondiente*

Cuando hables con nuestro representante, explica que eres un AWS Shield Advanced cliente que está sufriendo un posible ataque DDo tipo S. Nuestro representante dirigirá su llamada a los expertos DDo estadounidenses correspondientes. Si presenta un caso ante el [AWS Support Centro](https://console.aws.amazon.com/support/home#/) mediante el tipo de servicio **distribuido de denegación de servicio (DDoS)**, puede hablar directamente con un experto en DDo S por chat o por teléfono. DDoLos ingenieros de soporte de S pueden ayudarlo a identificar los ataques, recomendar mejoras en su AWS arquitectura y brindarle orientación sobre el uso de AWS los servicios para mitigar DDo los ataques S.

En el caso de los ataques en la capa de aplicación, el SRT puede ayudarlo a analizar la actividad sospechosa. Si tiene habilitada la mitigación automática para su recurso, el SRT puede revisar las mitigaciones que Shield Avanzado aplica automáticamente contra el ataque. En cualquier caso, el SRT puede ayudarlo a revisar y mitigar el problema. Las medidas de mitigación que recomienda la SRT suelen requerir que la SRT cree o actualice las listas de control de acceso a la AWS WAF web (web ACLs) en su cuenta. El SRT necesitará su permiso para realizar este trabajo. 

**importante**  
Te recomendamos que, como parte de la activación AWS Shield Advanced, sigas los pasos que se indican [Concesión del acceso al SRT](ddos-srt-access.md) a continuación para proporcionar al SRT de forma proactiva los permisos que necesita para ayudarte durante un ataque. Proporcionar permiso de antemano ayuda a evitar retrasos si se produce un ataque real.

El SRT le ayuda a clasificar el ataque DDo S para identificar las características y patrones del ataque. Con su consentimiento, el SRT crea e implementa AWS WAF reglas para mitigar el ataque.

También puede ponerse en contacto con el SRT antes o durante un posible ataque para revisar mitigaciones y desarrollar e implementar mitigaciones personalizadas. Por ejemplo, si ejecuta una aplicación web y solo necesita tener abiertos los puertos 80 y 443, puede trabajar con el SRT para preconfigurar una ACL web que permita ("allow") únicamente los puertos 80 y 443.

Debe autorizar y contactar con el SRT en el nivel de cuenta. Es decir, si utiliza Shield Advanced en una política de Shield Avanzado de Firewall Manager, es el propietario de la cuenta, no el administrador de Firewall Manager, quien debe ponerse en contacto con el SRT para solicitar asistencia. El administrador de Firewall Manager puede contactar con el SRT solo para las cuentas de las que sea propietario.

# Mitigación manual de un ataque a la capa DDo S de aplicación
<a name="ddos-responding-manual"></a>

Esta página proporciona instrucciones para mitigar manualmente un ataque a la capa de aplicación DDo S.

Si determina que la actividad de la página de eventos de su recurso representa un ataque DDo S, puede crear sus propias AWS WAF reglas en su ACL web para mitigar el ataque. Esta es la única opción disponible si no eres cliente de Shield Advanced. AWS WAF se incluye sin AWS Shield Advanced coste adicional. Para obtener información sobre la creación de reglas en su ACL web, consulte [Configuración de la protección en AWS WAF](web-acl.md).

Si las usa AWS Firewall Manager, puede agregar sus AWS WAF reglas a una AWS WAF política de Firewall Manager.

**Para mitigar manualmente un posible ataque a la capa DDo S de aplicación**

1. Cree declaraciones de reglas en su ACL web con criterios que coincidan con el comportamiento inusual. Para empezar, configúrelas para que cuenten las solicitudes coincidentes. Para obtener información sobre la configuración de la ACL web y las declaraciones de reglas, consulte [Uso de paquetes de protección (web ACLs) con reglas y grupos de reglas en AWS WAF](web-acl-processing.md) y [Probando y ajustando sus AWS WAF protecciones](web-acl-testing.md).
**nota**  
Pruebe siempre primero las reglas; para ello, utilice inicialmente la acción de regla Count en lugar de Block. Cuando tenga la seguridad de que sus nuevas reglas identifican las solicitudes correctas, puede modificarlas para bloquear las solicitudes. 

1. Supervise los recuentos de solicitudes para determinar si desea bloquear las solicitudes coincidentes. Si el volumen de solicitudes sigue siendo inusualmente alto y está seguro de que sus reglas están capturando las solicitudes que están causando el alto volumen, cambie las reglas de su ACL web para bloquear las solicitudes. 

1. Continúe supervisando la página de eventos para asegurarse de que su tráfico se gestiona como desee. 

AWS proporciona plantillas preconfiguradas para que pueda empezar rápidamente. Las plantillas incluyen un conjunto de AWS WAF reglas que puede personalizar y utilizar para bloquear los ataques habituales basados en la web. Para obtener más información, consulte [Automatizaciones de seguridad de AWS WAF](https://aws.amazon.com/solutions/aws-waf-security-automations/).