Grupo de reglas de prevención contra la denegación de servicio distribuida (DDoS) de AWS WAF - AWS WAF, AWS Firewall Manager, AWS Shield Advanced y director de seguridad de red AWS Shield
Uso de este grupo de reglasEtiquetas agregadas por este grupo de reglasLista de reglas

Presentamos una nueva experiencia de consola para AWS WAF

Ahora puede usar la experiencia actualizada para acceder a las funciones de AWS WAF desde cualquier parte de la consola. Para obtener más información, consulta Trabajo con la experiencia de consola actualizada.

Grupo de reglas de prevención contra la denegación de servicio distribuida (DDoS) de AWS WAF

En esta sección, se describe el grupo de reglas administradas de AWS WAF para la protección contra ataques de denegación de servicio distribuida (DDoS).

Nombre del proveedor: AWS, Nombre: AWSManagedRulesAntiDDoSRuleSet, WCU: 50

nota

Esta documentación cubre la versión estática más reciente de este grupo de reglas administrado. Reportamos los cambios de versión en el registro de cambios en Registro de cambios de las reglas administradas de AWS. Para obtener información acerca de otras versiones, use el comando de API DescribeManagedRuleGroup.

La información que publicamos sobre las reglas en los grupos de reglas administradas de AWS tiene por objeto proporcionarle información suficiente para usarlas, pero no proporciona información que los actores malintencionados puedan usar para eludirlas.

Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el Centro de AWS Support.

El grupo de reglas administradas anti-DDoS proporciona reglas que detectan y administran las solicitudes que participan, o que es probable que participen, en ataques DDoS. Además, el grupo de reglas etiqueta todas las solicitudes que evalúa durante un evento probable.

Consideraciones para utilizar este grupo de reglas

Este grupo de reglas proporciona mitigaciones flexibles y estrictas para las solicitudes web que llegan a recursos que están bajo ataques DDoS. Para detectar distintos niveles de amenaza, puede ajustar la sensibilidad de ambos tipos de mitigación a niveles de sospecha altos, medios o bajos.

  • Mitigación suave: el grupo de reglas puede enviar desafíos de navegador silenciosos en respuesta a solicitudes que puedan lidiar con los intersticios del desafío. Para obtener información acerca de los requisitos para ejecutar el desafío, consulte Comportamiento de acción CAPTCHA y Challenge.

  • Mitigación estricta: el grupo de reglas puede bloquear las solicitudes por completo.

Para obtener más información acerca del funcionamiento y la configuración del grupo de reglas, consulte Protección Anti-DDoS avanzada mediante el grupo de reglas administrado antiDDoS de AWS WAF.

nota

Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administradas. Para más información, consulte Precios de AWS WAF.

Este grupo de reglas forma parte de las protecciones de mitigación de amenazas inteligentes de AWS WAF. Para obtener más información, consulte Mitigación de amenazas inteligentes en AWS WAF.

Para minimizar los costes y optimizar la gestión del tráfico, use este grupo de reglas de acuerdo con las directrices de prácticas recomendadas. Consulte , Prácticas recomendadas para la mitigación inteligente de amenazas en AWS WAF.

Etiquetas agregadas por este grupo de reglas

Este grupo de reglas administradas agrega etiquetas a las solicitudes web que evalúa, que están disponibles para las reglas que se ejecutan después de este grupo de reglas en su paquete de protección (ACL web). AWS WAF también registra las etiquetas de las métricas de Amazon CloudWatch. Para obtener información general sobre las etiquetas y las métricas de etiquetas, consulte Etiquetado de solicitudes web y Etiquetar métricas y dimensiones.

Etiquetas de token

Este grupo de reglas usa la administración de tokens de AWS WAF para inspeccionar y etiquetar las solicitudes web según el estado de sus tokens de AWS WAF. AWS WAF usa tokens para el seguimiento y la verificación de las sesiones del cliente.

Para obtener información sobre los tókenes y su administración, consulte Uso de tokens en la mitigación inteligente de amenazas de AWS WAF.

Para obtener información sobre los componentes de las etiquetas que se describen aquí, consulte Requisitos de sintaxis de etiquetas y nomenclatura en AWS WAF.

Etiqueta de sesión de cliente

La etiqueta awswaf:managed:token:id:identifier contiene un identificador único que la administración de token de AWS WAF utiliza para identificar la sesión del cliente. El identificador puede cambiar, por ejemplo, si el cliente adquiere un nuevo token después de descartar el que estaba utilizando.

nota

AWS WAF no informa las métricas de Amazon CloudWatch para esta etiqueta.

Etiqueta de la huella digital del navegador

La etiqueta awswaf:managed:token:fingerprint:fingerprint-identifier contiene un robusto identificador de huellas digitales del navegador que la administración de tokens de AWS WAF calcula a partir de varias señales del navegador del cliente. Este identificador permanece igual en varios intentos de adquisición de tokens. El identificador de huella digital no es exclusivo de un solo cliente.

nota

AWS WAF no informa las métricas de Amazon CloudWatch para esta etiqueta.

Etiquetas de estado del token: prefijos del espacio de nombres de etiquetas

Las etiquetas de estado del token informan sobre el estado del token y de la información que contiene del desafío y del CAPTCHA.

Cada etiqueta de estado del token comienza con uno de los siguientes prefijos de espacio de nombres:

  • awswaf:managed:token:: Se utiliza para informar sobre el estado general del token y el estado de la información del desafío del token.

  • awswaf:managed:captcha:: Se utiliza para informar sobre el estado de la información del CAPTCHA del token.

Etiquetas de estado del token: nombres de etiquetas

Tras el prefijo, el resto de la etiqueta proporciona información detallada sobre el estado del token:

  • accepted: El token de solicitud está presente y contiene lo siguiente:

    • Una solución válida del desafío o del CAPTCHA.

    • Una marca de tiempo vigente del desafío o del CAPTCHA.

    • Una especificación de dominio válida para el paquete de protección (ACL web).

    Ejemplo: la etiqueta awswaf:managed:token:accepted indica que el token de la solicitud web tiene una solución válida y una marca temporal vigente para el desafío, así como un dominio válido.

  • rejected: El token de solicitud está presente, pero no cumple con los criterios de aceptación.

    Junto con la etiqueta rechazada, la administración del token agrega un espacio de nombres y nombre de etiqueta personalizados para indicar el motivo.

    • rejected:not_solved: Al token le falta la solución del desafío o del CAPTCHA.

    • rejected:expired: la marca temporal del desafío o del CAPTCHA del token ha caducado, de acuerdo con los tiempos de inmunidad del token configurado en el paquete de protección (ACL web).

    • rejected:domain_mismatch: el dominio del token no coincide con la configuración del dominio del token de su paquete de protección (ACL web).

    • rejected:invalid: AWS WAF no pudo leer el token indicado.

    Ejemplo: las etiquetas awswaf:managed:captcha:rejected y awswaf:managed:captcha:rejected:expired indican que la solicitud se rechazó porque la marca de tiempo del CAPTCHA del token ha superado el tiempo de inmunidad que se configuró en el paquete de protección (ACL web).

  • absent: La solicitud no contiene el token o el administrador del token no ha podido leerlo.

    Ejemplo: la etiqueta awswaf:managed:captcha:absent indica que la solicitud no tiene el token.

Etiquetas anti-DDoS

Este grupo de reglas administradas anti-DDoS genera etiquetas con el prefijo del espacio de nombres awswaf:managed:aws:anti-ddos: seguido de cualquier espacio de nombres personalizado y el nombre de la etiqueta. Cada etiqueta refleja algún aspecto de los resultados anti-DDoS.

El grupo de reglas puede agregar cualquiera de las siguientes etiquetas a una solicitud, además de las que se agregan mediante reglas individuales.

  • awswaf:managed:aws:anti-ddos:event-detected: indica que la solicitud va a un recurso protegido para el que el grupo de reglas administradas detecta un evento DDoS. El grupo de reglas administradas detecta eventos cuando el tráfico hacia el recurso presenta una desviación significativa con respecto a la línea base de tráfico del recurso.

    El grupo de reglas agrega esta etiqueta a todas las solicitudes que se envían al recurso mientras se encuentra en este estado, por lo que el tráfico legítimo y el tráfico de ataque reciben esta etiqueta.

  • awswaf:managed:aws:anti-ddos:ddos-request: indica que la solicitud proviene de una fuente sospechosa de participar en un evento.

    Además de la etiqueta general, el grupo de reglas agrega las siguientes etiquetas que indican el nivel de confianza.

    awswaf:managed:aws:anti-ddos:low-suspicion-ddos-request: indica una posible solicitud de ataque DDoS.

    awswaf:managed:aws:anti-ddos:medium-suspicion-ddos-request: indica una solicitud de ataque DDoS muy probable.

    awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request: indica una solicitud de ataque DDoS altamente probable.

  • awswaf:managed:aws:anti-ddos:challengeable-request: indica que el URI de la solicitud es capaz de gestionar la acción Challenge. El grupo de reglas administradas aplica estas etiquetas a cualquier solicitud cuyo URI no esté exento. Los URI están exentos si coinciden con las expresiones regulares de URI exentas del grupo de reglas.

    Para obtener información sobre los requisitos de las solicitudes que puedan tomar un desafío de navegador silencioso, consulte Comportamiento de acción CAPTCHA y Challenge.

Puede recuperar todas las etiquetas de un grupo de reglas a través de la API llamando al DescribeManagedRuleGroup. Las etiquetas aparecen en la propiedad AvailableLabels de la respuesta.

El grupo de reglas administradas anti-DDoS aplica etiquetas a las solicitudes, pero no siempre actúa en consecuencia. La administración de las solicitudes depende de la confianza con la que el grupo de reglas determine la participación en un ataque. Si lo desea, puede administrar las solicitudes que etiqueta el grupo de reglas con la adición de una regla de coincidencia de etiquetas que se ejecute después del grupo de reglas. Para obtener más información acerca de esto y ver ejemplos, consulte Prevención de denegación de servicio distribuida (DDoS) de AWS WAF.

Listado de reglas anti-DDoS

En esta sección, se enumeran las reglas anti-DDoS.

nota

Esta documentación cubre la versión estática más reciente de este grupo de reglas administrado. Reportamos los cambios de versión en el registro de cambios en Registro de cambios de las reglas administradas de AWS. Para obtener información acerca de otras versiones, use el comando de API DescribeManagedRuleGroup.

La información que publicamos sobre las reglas en los grupos de reglas administradas de AWS tiene por objeto proporcionarle información suficiente para usarlas, pero no proporciona información que los actores malintencionados puedan usar para eludirlas.

Si necesita más información de la que se encuentra en esta documentación, póngase en contacto con el Centro de AWS Support.

Nombre de la regla Descripción
ChallengeAllDuringEvent

Coincide con las solicitudes que tienen la etiqueta awswaf:managed:aws:anti-ddos:challengeable-request de cualquier recurso protegido que esté bajo ataque actualmente.

Acción de la regla: Challenge

Solo puede anular esta acción de regla para Allow o Count. No se recomienda el uso de Allow. Para cualquier configuración de acción de regla, la regla solo coincide con las solicitudes que tienen la etiqueta challengeable-request.

La configuración de esta regla afecta a la evaluación de la siguiente regla,ChallengeDDoSRequests. AWS WAF solo evalúa esa regla cuando la acción para esta regla se ha establecido en Count en la configuración de la ACL web del grupo de reglas administradas.

Si su carga de trabajo es vulnerable a cambios inesperados en el volumen de solicitudes, le recomendamos que rechace todas las solicitudes impugnables al mantener la configuración de acción predeterminada de Challenge. En el caso de las aplicaciones menos sensibles, puede establecer la acción de esta regla en Count y, a continuación, ajustar la sensibilidad de sus Challenge respuestas con la regla ChallengeDDoSRequests.

Etiquetas: awswaf:managed:aws:anti-ddos:ChallengeAllDuringEvent

ChallengeDDoSRequests

Coincide con las solicitudes de un recurso protegido que cumplen o superan la configuración de sensibilidad a los desafíos que configura el grupo de reglas durante los momentos en los que el recurso está bajo ataque.

Acción de la regla: Challenge

Solo puede anular esta acción de regla para Allow o Count. No se recomienda el uso de Allow. En cualquier caso, la regla solo coincide con las solicitudes que tienen la etiqueta challengeable-request.

AWS WAF solo evalúa esta regla si se anula la acción a Count en la regla anterior, ChallengeAllDuringEvent.

Etiquetas: awswaf:managed:aws:anti-ddos:ChallengeDDoSRequests

DDoSRequests

Coincide con las solicitudes de un recurso protegido que cumplen o superan la configuración de sensibilidad a los bloques configurada del grupo de reglas durante los momentos en los que el recurso está bajo ataque.

Acción de la regla: Block

Etiquetas: awswaf:managed:aws:anti-ddos:DDoSRequests