Passer au contenu
En utilisant AWS re:Post, vous acceptez les AWS re:Post Conditions d’utilisation
AWS re:Postre:Post
À propos de re:Post

Comment utiliser AWS WAF pour atténuer les attaques DDoS ?

Lecture de 12 minute(s)
0

Je souhaite utiliser le pack de protection AWS WAF pour atténuer les attaques par déni de service distribué (DDoS) au niveau de la couche application.

Brève description

Pour utiliser AWS WAF comme principale solution d'atténuation contre les attaques DDoS de la couche applicative, procédez comme suit :

  • Utilisez des règles fréquentielles.
  • Interrogez les journaux AWS WAF pour recueillir des informations spécifiques sur les activités non autorisées.
  • Créez une règle de correspondance géographique pour bloquer les requêtes erronées provenant d'un pays non prévu pour votre entreprise.
  • Créez une règle de correspondance d’ensembles d'adresses IP pour bloquer les requêtes erronées.
  • Créez une règle de correspondance de chaînes pour bloquer les requêtes erronées.
  • Créez une règle de correspondance regex pour bloquer les requêtes erronées.
  • Activez le contrôle des bots et utilisez le niveau de protection ciblé.
  • Utilisez le groupe de règles gérées par la liste de réputation d'adresses IP Amazon.

Pour les attaques visant la couche d’infrastructure, utilisez des services AWS tels qu'Amazon CloudFront et Elastic Load Balancing (ELB) pour assurer une protection automatique contre les attaques DDoS. Pour plus d'informations, consultez la section Bonnes pratiques d’AWS en matière de résilience face aux attaques DDoS. Vous pouvez également utiliser la couche applicative automatique d'AWS Shield Advanced pour atténuer les attaques sophistiquées, telles que la couche 3 à 7. Pour en savoir plus, consultez la section Automatisation de l'atténuation des attaques DDoS au niveau de la couche applicative avec Shield Advanced.

Résolution

Utiliser des règles fréquentielles

Créer une règle fréquentielle générale

Utilisez une règle fréquentielle générale pour définir un seuil pour le nombre de requêtes que les adresses IP peuvent envoyer à votre application Web.

Procédez comme suit :

  1. Ouvrez la console AWS WAF.
  2. Pour Région, choisissez la région AWS dans laquelle vous avez créé votre pack de protection.
  3. Dans le volet de navigation, choisissez Ressources et packs de protection.
  4. Sur le côté droit du pack de protection, sélectionnez l'icône en regard du nom de la région pour choisir le pack de protection.
  5. Dans le pack de protection que vous avez sélectionné, sélectionnez Règles.
  6. Sélectionnez Afficher et modifier en regard de Règles pour afficher ou modifier les règles associées à votre pack de protection.
  7. Dans le volet droit de la section Gérer les règles, choisissez Ajouter des règles.
  8. Choisissez Règle personnalisée, puis sélectionnez Suivant.
  9. Choisissez Règle basée sur les taux et sélectionnez Suivant.
  10. Pour configurer votre règle, configurez les valeurs suivantes :
    Pour Action, sélectionnez Bloquer.
    Pour Nom, saisissez un nom de règle.
    Pour Limite de débit, saisissez un nombre compris entre 10 et 2 000 000 000.
    Remarque : Si vous n'êtes pas sûr de la limite de débit à définir, utilisez l'action de règle pour comptabiliser et surveiller vos modèles de requête. Définissez ensuite une limite de débit en fonction de votre niveau de référence.
    Pour Fenêtre d'évaluation, saisissez 1, 2, 5 ou 10 minutes.
    Dans la liste déroulante Bloc de configuration de la règle :
    Pour Adresse IP à utiliser pour limiter le débit, sélectionnez Adresse IP source ou Adresse IP dans l'en-tête.
    Remarque : Une fois que vous avez soumis une modification du taux de requête, AWS WAF peut mettre un certain temps à appliquer ou à supprimer l'action relative à la règle.
    Pour Portée de l'inspection, sélectionnez Prendre en compte toutes les requêtes.
  11. Sélectionnez Créer une règle.

Créer une règle fréquentielle (chemin d'URI) de règle personnalisée

Procédez comme suit :

  1. Ouvrez la console AWS WAF.
  2. Pour Région, choisissez la région AWS dans laquelle vous avez créé votre pack de protection.
  3. Dans le volet de navigation, choisissez Ressources et packs de protection.
  4. Sur le côté droit du pack de protection, sélectionnez l'icône en regard du nom de la région pour choisir le pack de protection.
  5. Dans le pack de protection que vous avez sélectionné, sélectionnez Règles.
  6. Sélectionnez Afficher et modifier en regard de Règles pour afficher ou modifier les règles associées à votre pack de protection.
  7. Dans le volet droit de la section Gérer les règles, choisissez Ajouter des règles.
  8. Choisissez Règle personnalisée, puis sélectionnez Suivant.
  9. Choisissez Règle basée sur les taux et sélectionnez Suivant.
  10. Pour configurer votre règle, configurez les valeurs suivantes :
    Pour Action, sélectionnez Bloquer.
    Pour Nom, saisissez un nom de règle.
    Pour Limite de débit, saisissez un nombre compris entre 10 et 2 000 000 000.
    Remarque : Si vous n'êtes pas sûr de la limite de débit à définir, utilisez l'action de règle pour comptabiliser et surveiller vos modèles de requête. Définissez ensuite une limite de débit en fonction de votre niveau de référence.
    Pour Fenêtre d'évaluation, saisissez 1, 2, 5 ou 10 minutes.
    Dans la liste déroulante Bloc de configuration de la règle :
    Sous Configuration de règle, sélectionnez Clés personnalisées.
  11. Pour Clés d'agrégation des requêtes, sélectionnez Chemin URI.
  12. Pour Transformation de texte, choisissez Aucune.
    Remarque : Une fois que vous avez soumis une modification du taux de requête, AWS WAF peut mettre un certain temps à appliquer ou à supprimer l'action relative à la règle.
    Pour Portée de l'inspection, sélectionnez Prendre en compte toutes les requêtes.
  13. Sélectionnez Créer une règle.

Pour plus d'informations, consultez la section Les trois principales règles fréquentielles AWS WAF.

Interroger les journaux AWS WAF pour recueillir des informations spécifiques sur les activités non autorisées

Activer la journalisation AWS WAF Puis, interrogez les journaux AWS WAF pour étudier les scénarios DDoS.

Vous pouvez utiliser les services AWS suivants pour interroger les journaux AWS WAF :

Utiliser l'analyseur de journaux Amazon Athena ou l'analyseur de journaux AWS Lambda

AWS WAF dispose d'une limite de débit minimale acceptable pour les règles fréquentielles. Si vous ne pouvez pas utiliser de règles fréquentielles en raison d'un faible volume ou si vous avez nécessitez une période de blocage personnalisable, utilisez un analyseur de journaux dans Athena ou Lambda. Les deux services sont disponibles dans Automatisations de sécurité pour AWS WAF.

Créez une instruction de règle de correspondance géographique pour bloquer les requêtes erronées provenant d'un pays non prévu pour votre entreprise

Procédez comme suit :

  1. Ouvrez la console AWS WAF.
  2. Pour Région, choisissez la région AWS dans laquelle vous avez créé votre pack de protection.
  3. Dans le volet de navigation, choisissez Ressources et packs de protection.
  4. Sur le côté droit du pack de protection, sélectionnez l'icône en regard du nom de la région pour choisir le pack de protection.
  5. Dans le pack de protection que vous avez sélectionné, sélectionnez Règles.
  6. Sélectionnez Afficher et modifier en regard de Règles pour afficher ou modifier les règles associées à votre pack de protection.
  7. Dans le volet droit de la section Gérer les règles, choisissez Ajouter des règles.
  8. Sélectionnez Règle basée sur la géolocalisation.
  9. Pour configurer votre règle, configurez les valeurs suivantes :
    Pour Action de règle, sélectionnez Bloquer.
    Pour Nom, saisissez un nom de règle.
    Sous l’instruction, sélectionnez les codes pays que vous souhaitez bloquer.
  10. Sélectionnez Créer une règle.

Pour plus d'informations, consultez la section Instruction de règle de correspondance géographique.

Créer une règle de correspondance d’ensembles d'adresses IP pour bloquer les requêtes erronées provenant d'adresses IP spécifiques

Procédez comme suit :

  1. Ouvrez la console AWS WAF.
  2. Pour Région, choisissez la région AWS dans laquelle vous avez créé votre pack de protection.
  3. Dans le volet de navigation, choisissez Ressources et packs de protection.
  4. Sur le côté droit du pack de protection, sélectionnez l'icône en regard du nom de la région pour choisir le pack de protection.
  5. Dans le pack de protection que vous avez sélectionné, sélectionnez Règles.
  6. Sélectionnez Afficher et modifier en regard de Règles pour afficher ou modifier les règles associées à votre pack de protection.
  7. Dans le volet droit de la section Gérer les règles, choisissez Ajouter des règles.
  8. Choisissez Règle basée sur l'adresse IP et sélectionnez Suivant.
  9. Pour configurer votre règle, configurez les valeurs suivantes :
    Pour Action de règle, sélectionnez Bloquer.
    Pour Nom, saisissez un nom de règle.
    Sous l'instruction, activez Utiliser un ensemble d'adresses IP existant et choisissez l'ensemble d'adresses IP.
  10. Sélectionnez Créer une règle.

Pour plus d'informations, consultez la section Instruction de règle de correspondance d’adresses IP.

Créer une instruction de règle de correspondance de chaînes pour bloquer les requêtes erronées

Procédez comme suit :

  1. Ouvrez la console AWS WAF.
  2. Pour Région, choisissez la région AWS dans laquelle vous avez créé votre pack de protection.
  3. Dans le volet de navigation, choisissez Ressources et packs de protection.
  4. Sur le côté droit du pack de protection, sélectionnez l'icône en regard du nom de la région pour choisir le pack de protection.
  5. Dans le pack de protection que vous avez sélectionné, sélectionnez Règles.
  6. Sélectionnez Afficher et modifier en regard de Règles pour afficher ou modifier les règles associées à votre pack de protection.
  7. Dans le volet droit de la section Gérer les règles, choisissez Ajouter des règles.
  8. Choisissez Règle personnalisée, puis sélectionnez Suivant.
  9. Choisissez à nouveau Règle personnalisée, puis sélectionnez Suivant.
  10. Pour Action de règle, sélectionnez Bloquer.
  11. Pour configurer votre règle, configurez les valeurs suivantes :
    Pour Nom, saisissez un nom de règle.
    Pour S’il s’agit d’une requête, sélectionnez correspond à l’instruction.
    Pour Inspecter, sélectionnez En-tête.
    Pour Nom du champ En-tête, saisissez le nom du bot que vous souhaitez bloquer tel qu'il apparaît dans vos journaux AWS WAF.
    Pour Type de correspondance, sélectionnez Correspond exactement à la chaîne.
    Pour Chaîne à faire correspondre, saisissez la valeur du bot que vous souhaitez bloquer telle qu'elle apparaît dans vos journaux AWS WAF.
  12. Sélectionnez Créer une règle.

Pour plus d'informations, consultez la section Instruction de règle de correspondance de chaînes.

Créer une instruction de règle de correspondance regex pour bloquer les requêtes erronées

Procédez comme suit :

  1. Ouvrez la console AWS WAF.
  2. Pour Région, choisissez la région AWS dans laquelle vous avez créé votre pack de protection.
  3. Dans le volet de navigation, choisissez Ressources et packs de protection.
  4. Sur le côté droit du pack de protection, sélectionnez l'icône en regard du nom de la région pour choisir le pack de protection.
  5. Dans le pack de protection que vous avez sélectionné, sélectionnez Règles.
  6. Sélectionnez Afficher et modifier en regard de Règles pour afficher ou modifier les règles associées à votre pack de protection.
  7. Dans le volet droit de la section Gérer les règles, choisissez Ajouter des règles.
  8. Choisissez Règle personnalisée, puis sélectionnez Suivant.
  9. Choisissez à nouveau Règle personnalisée, puis sélectionnez Suivant.
  10. Pour configurer votre règle, configurez les valeurs suivantes :
    Pour Action de règle, sélectionnez Bloquer.
    Pour Nom, saisissez un nom de règle.
    Choisissez correspond à l’instruction sous S’il s’agit d’une requête
    Pour Inspecter, sélectionnez Chemin URI.
    Pour Type de correspondance, sélectionnez Correspond à l'expression régulière.
    Pour Chaîne à faire correspondre, saisissez l'expression régulière que vous souhaitez bloquer.
    Pour Action de règle, sélectionnez Bloquer.
  11. Sélectionnez Créer une règle.

Pour plus d'informations, consultez la section Instruction de règle de correspondance Regex.

Activer le contrôle des bots et utiliser le niveau de protection ciblé

Le niveau de protection ciblé pour Contrôle des bots AWS WAF utilise une combinaison de limitation de débit et d’actions CAPTCHA et Challenge pour réduire l'activité des bots. Pour plus d'informations sur la tarification ciblée de contrôle des bots, consultez Cas F sur la page Tarification d’AWS WAF.

Pour activer le contrôle des bots et le niveau de protection ciblé, procédez comme suit :

  1. Ouvrez la console AWS WAF.
  2. Pour Région, choisissez la région AWS dans laquelle vous avez créé votre pack de protection.
  3. Dans le volet de navigation, choisissez Ressources et packs de protection.
  4. Sur le côté droit du pack de protection, sélectionnez l'icône en regard du nom de la région pour choisir le pack de protection.
  5. Dans le pack de protection que vous avez sélectionné, sélectionnez Règles.
  6. Sélectionnez Afficher et modifier en regard de Règles pour afficher ou modifier les règles associées à votre pack de protection.
  7. Dans le volet droit de la section Gérer les règles, choisissez Ajouter des règles.
  8. Choisissez Groupe de règles gérées par AWS et sélectionnez Suivant.
  9. Sous Payé, sélectionnez Groupe de règles de contrôle des bots.
  10. Sous Niveau d'inspection, sélectionnez Ciblé.
  11. Sélectionnez Créer une règle.

Utiliser le groupe de règles gérées par la liste de réputation d'adresses IP Amazon

Le groupe de règles gérées AWSManagedIPReputationList utilise les renseignements internes d'Amazon sur les menaces pour identifier les adresses IP qui ont participé activement à des activités DDoS.

Pour activer le groupe de règles gérées par la liste de réputation d'adresses IP Amazon, procédez comme suit :

  1. Ouvrez la console AWS WAF.
  2. Pour Région, choisissez la région AWS dans laquelle vous avez créé votre pack de protection.
  3. Dans le volet de navigation, choisissez Ressources et packs de protection.
  4. Sur le côté droit du pack de protection, sélectionnez l'icône en regard du nom de la région pour choisir le pack de protection.
  5. Dans le pack de protection que vous avez sélectionné, sélectionnez Règles.
  6. Sélectionnez Afficher et modifier en regard de Règles pour afficher ou modifier les règles associées à votre pack de protection.
  7. Dans le volet droit de la section Gérer les règles, choisissez Ajouter des règles.
  8. Choisissez Groupe de règles gérées par AWS et sélectionnez Suivant.
  9. Pour Règles gratuites, sélectionnez AmazonIpReputationList.
  10. Sélectionnez Créer une règle.
Sujets
Security, Identity, & Compliance
Balises
AWS WAF
Langue
Français
AWS OFFICIELA mis à jour il y a 9 mois
Aucun commentaire

Contenus pertinents