在 Shield Advanced 中查看应用程序层(第 7 层)事件详情 - AWS WAF、AWS Firewall Manager 和 AWS Shield Advanced
检测和缓解排名靠前的贡献者

在 Shield Advanced 中查看应用程序层(第 7 层)事件详情

您可以在事件控制台页面的底部查看有关应用程序层事件的检测、缓解和主要贡献者的详细信息。此部分可能包括合法流量和潜在有害流量的组合,可能既代表传递到受保护资源的流量,也代表被 Shield Advanced 缓解措施阻止的流量。

缓解详情适用于与资源关联的 Web ACL 中的所有规则,包括专门为响应攻击而部署的规则以及在 Web ACL 中定义的基于速率的规则。如果为应用程序启用了应用程序层 DDDoS 自动缓解,缓解指标将包括这些额外规则的指标。有关这些应用程序层保护的信息,请参阅 使用 AWS Shield Advanced 和 AWS WAF 保护应用程序层(第 7 层)

检测和缓解

对于应用程序层(第 7 层)事件,检测和缓解选项卡显示基于从 AWS WAF 日志中获取的信息的检测指标。缓解指标基于关联 Web ACL 中的 AWS WAF 规则,这些规则配置为阻止不需要的流量。

对于 Amazon CloudFront 分配,您可以将 Shield Advanced 配置为自动为您应用缓解措施。对于任何应用程序层资源,您都可以选择在 Web ACL 中定义自己的缓解规则,也可以向 Shield 响应小组 (SRT) 请求帮助。有关这些选项的信息,请参阅 在 AWS 中响应 DDoS 事件

以下屏幕截图显示了应用程序层事件的检测指标示例,该事件在数小时后消退。

检测指标图表显示了从 11:30 到 16:00 消退的请求泛洪流量检测情况。

在缓解规则生效之前消退的事件流量不会显示在缓解指标中。这可能会导致检测图中显示的 Web 请求流量与缓解图表中显示的允许和阻止指标之间存在差异。

排名靠前的贡献者

应用程序层事件的排名靠前的贡献者选项卡显示 Shield 根据检索到的 AWS WAF 日志为该事件确定的前 5 个贡献者。Shield 按来源 IP、来源国家和目标 URL 等维度对排名靠前的贡献者的信息进行分类。

注意

要获得有关导致应用程序层事件的流量的最准确信息,请使用AWS WAF 日志。

Shield 应用程序层排名靠前的贡献者信息应仅用于大致了解攻击的性质,不要据此做出安全决策。对于应用程序层事件,AWS WAF 日志是了解攻击的贡献者和制定缓解策略的最佳信息来源。

Shield 排名靠前的贡献者信息并不总是能够完全反映 AWS WAF 日志中的数据。在摄取日志时,Shield 优先考虑减少对系统性能的影响,而不是从日志中检索完整的数据集。这可能会导致 Shield 可用于分析的数据的粒度丢失。在大多数情况下,大多数信息都是可用的,但是对于任何攻击,排名靠前的贡献者数据都可能在一定程度上存在偏差。

以下屏幕截图显示了应用程序层事件的排名靠前的贡献者选项卡示例。

应用程序层事件的排名靠前的贡献者选项卡描述了许多 Web 请求特征的前 5 名贡献者。屏幕显示前 5 个来源 IP 地址、前 5 个目标 URL、前 5 个来源国家/地区和前 5 个用户代理。

贡献者信息基于对合法流量和潜在有害流量的请求。数据量较大的事件和请求源分布不高的事件更有可能具有可识别的排名靠前的贡献者。显著分布式攻击可能有多种来源,因此很难确定攻击的主要贡献者。如果 Shield Advanced 未识别出特定类别的重要贡献者,则会将数据显示为不可用。