[新产品/新功能] 为 AWS WAF 和 AWS Shield Advanced 客户引入新的应用层 (L7) DDoS 防护

[新产品/新功能] 为 AWS WAF 和 AWS Shield Advanced 客户引入新的应用层 (L7) DDoS 防护   # 产品功能分析 ## 新功能/新产品概述 AntiDDoS AMR 是 AWS 针对应用层 (Layer 7) DDoS 攻击推出的新功能，旨在自动缓解 HTTP 请求洪水攻击。该功能作为 AWS WAF 的托管规则组，提供简化的配置选项，帮助客户快速检测和缓解攻击。**AntiDDoS AMR** 通过分析流量模式，建立基线并识别异常请求，适用于保护 Web 应用免受演变的 DDoS 威胁。背景在于 DDoS 攻击从网络层 (L3/L4) 转向应用层，驱动因素包括 botnet 难度增加和开放代理的普及。目标用户群为使用 AWS WAF 或 Shield Advanced 的企业客户，市场定位聚焦于高可用 Web 服务，提供更高效的防护，而非依赖传统手动规则管理。 ## 关键客户价值 - **简化防护管理**：AntiDDoS AMR 通过一键启用和自定义敏感度设置，减少了手动配置 WAF 规则的复杂性，与传统 IaaS 架构相比，显著降低了运维负担，但需注意配置不当可能导致部分 URI 路径误判。 - **快速响应和成本优化**：系统可在启用后 15 分钟内建立流量基线，实现 _秒级_ 检测和缓解，减少假阳性和假阴性，提升应用可用性；同时，检测到的攻击流量不收费，避免了 DDoS 攻击对账单的额外冲击，相比竞品如手动规则组，更适合高并发场景。 - **增强可见性和灵活性**：提供原生仪表板和 CloudWatch 集成，显示实时 DDoS 事件、源 IP 和 URI 路径，帮助客户快速决策；在不同场景中，如突发流量高峰期，它能区分合法流量（如闪聚）和攻击，体现了差异化优势，但在大规模应用中，可能需要额外监控以应对动态威胁演变。 ## 关键技术洞察 - **技术独特性**：**AntiDDoS AMR** 基于流量基线和怀疑分数机制工作，通过算法分析 HTTP 请求模式，快速识别异常流量，例如使用 **EventBridge** 类似规则引擎分配标签如 `high-suspicion-ddos-request`。其创新点在于秒级响应和可调节敏感度（低、中、高），这提高了检测准确性和资源利用率，但可能面临挑战，如在复杂流量中增加假阳性风险，需要依赖客户配置免除特定 URI。 - **对性能、安全性影响**：该功能提升了应用的可用性和安全性，通过 **Challenge** 和 **Block** 动作区分合法与恶意请求，减少了后端服务器的负载；然而，在非 HTML 内容路径上，如果未正确设置免除规则，可能会影响用户体验，相比传统 DDoS 防护，其自动化优势显著降低了运维成本，但冷启动期的基线建立可能在初始阶段降低准确性。 - **实现挑战与解决**：挑战包括流量模式多样性导致的误判，AWS 通过提供自定义选项（如敏感度控制和 URI 正则表达式）予以解决，确保在高并发环境中保持效能；总体上，该技术体现了 AWS 在 AI 和机器学习领域的趋势应用，但需结合实际日志分析以优化配置，避免潜在的扩展性限制。 ## 其他信息 - **可用性和定价**：AntiDDoS AMR 支持 Amazon CloudFront 和 Application Load Balancer 等服务，对于 Shield Advanced 客户，包含在订阅内，每月前 500 亿请求免费，超出部分按 $0.15 百万请求收费；对于 WAF 客户，每月 $20 固定费用加超额请求收费，这体现了 AWS 的分层定价策略，适合不同规模客户，但需监控使用量以控制成本。 - **相关资源**：可通过 AWS WAF 控制台或 API 配置，结合 CloudWatch 进行监控，增强整体防护策略。   # 引入新的应用层 (L7) DDoS 保护功能，用于 AWS WAF 和 AWS Shield Advanced 客户 **原始链接:** [https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-the-aws-waf-application-layer-ddos-protection/](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-the-aws-waf-application-layer-ddos-protection/) **发布时间:** 2025-06-12 **厂商:** AWS **类型:** BLOG --- 随着全球威胁格局的不断变化和演变，帮助客户抵御这些威胁的 AWS 服务也在不断演进。其中一种威胁类型——分布式拒绝服务 (DDoS)——在过去几年中发生了显著变化。DDoS 攻击已从针对较低网络层 (第3层和第4层) 转向专注于应用层 (第7层)，主要是 HTTP/S 流量。由于这一转变，用于检测和缓解 DDoS 事件的 AWS 服务也相应演进。在本博客中，我们将介绍 DDoS 攻击的背景、AWS 客户用于检测和缓解 DDoS 事件的解决方案、客户在使用现有解决方案应对不断演变的 DDoS 威胁格局时面临的挑战，以及我们今天推出的新功能，以帮助客户防范 DDoS 事件。 ### DDoS 演变的简要历史历史上，DDoS 攻击主要针对 OSI 堆栈的第3层和第4层，即网络层攻击。这些攻击使用 IP 数据报或 TCP 或 UDP 数据包，旨在导致网络拥塞或在各种有状态设备上耗尽状态。常见的攻击技术有两种：第一种是僵尸网络攻击，通过许多受感染设备淹没网络；第二种是放大攻击，恶意行为者使用受害者的欺骗地址向中间主机发送小数据包，中间主机则发送放大的响应，导致受害者状态耗尽。这些技术的增长已放缓。对于第一种，供应商的“网络卫生”改善（如更频繁的软件更新和补丁）使得僵尸网络更难找到并维持在受感染设备上的存在。对于第二种，网络边缘提供商通过越来越严格地执行 RFC 2827（该 RFC 指示边缘网络丢弃任何出站数据包的回复地址不匹配其自身地址空间）来加大使用欺骗回复地址的难度。作为回应，虽然这两种方法仍然常见，但第7层攻击已大幅增加以取而代之。具体来说，过去几年中，针对第7层 (L7) 的攻击（如 HTTP 请求洪水）大幅增加，旨在削弱 Web 服务器和后端源服务器。从基础设施角度来看，策划这些攻击比使用僵尸网络或放大攻击简单得多。“DDoS-as-a-Service”社区（也称为 booter 或 stresser）以及互联网上众多开放代理，使得利用应用请求洪水攻击方法变得容易。恶意行为者不断迭代这些攻击，从请求每秒的角度增加规模，并通过请求级随机化来规避指纹技术，如 TLS JA3。 ### AWS Shield 和 Shield Advanced 的演变 Amazon Web Services (AWS) 长期以来通过 AWS Shield 和 Shield Advanced 提供 DDoS 检测和缓解服务。所有 AWS 客户都能受益于 Shield 的基本版本，它保护所有 AWS 基础设施及其客户免受许多基本互联网风险，如 SYN 洪水攻击。通过 Shield Advanced，客户可以自动检测和缓解针对特定资源的 DDoS 攻击，并获得由 Shield Response Team 组成的人工专家的访问。自 2016 年推出以来，我们不断加强该服务的检测和缓解能力。例如，在 2021 年，我们推出了 L7 自动应用 DDoS 缓解功能。但我们的工作仍在继续，因为我们希望为客户提供更好的控制、可见性和功效。而且，这是一个仅针对 AWS Shield Advanced 客户的功能，但许多客户使用 AWS WAF 而非 Shield Advanced。我们于 2015 年推出 AWS WAF，主要用于保护客户工作负载免受特定应用攻击，如 SQL 注入和跨站脚本攻击。但在过去几年中，随着攻击模式的改变，WAF 在防御 DDoS 攻击中变得更加突出。 ### 引入 AntiDDoS AMR 今天，我们很高兴宣布 [AntiDDoS AMR](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-anti-ddos.html)，这是一个针对自动缓解涉及 HTTP 请求洪水的应用攻击的新功能。我们通过 [AWS WAF](https://aws.amazon.com/waf/) 将此新功能实现为一个 AWS 托管规则组 (AMR)。它消除了客户管理各种 WAF 规则和访问控制列表 (ACL) 以处理这些日益灵活的攻击的复杂性。此新功能提供了一组简单的配置选项，让您根据安全偏好进行实施。 AntiDDoS AMR 的新 L7 功能有几个好处。它被设计为快速运行，在几秒内检测并缓解新的和变化的攻击。它会在启用后 15 分钟内分析您的流量，以更好地理解您的流量模式，从而识别异常攻击模式。此外，我们认为 DDoS 流量不应导致您的钱包遭受 DDoS，因此我们检测并通过 AntiDDoS AMR 缓解的任何攻击流量都不会向您收费。最后，您可以将此新 AMR 用作 AWS Shield Advanced 订阅的一部分，或作为 AWS WAF 中的独立功能。本博客的其余部分将深入探讨新的 DDoS 保护规则组、展示如何实施它，并提供配置指南以保护您的应用。这是一个介绍性概述，详细分析将在后续文章中发布。 ### AntiDDoS AMR 的概述和关键功能 AntiDDoS AMR 增强了对第7层 (L7) DDoS 事件的保护。此 AMR 检测系统旨在区分 DDoS 事件和突发流量（许多合法客户端发送有限数量的请求）。当添加到您的 AWS WAF Web 访问控制列表 (ACL) 配置中时，它会快速学习您的流量模式并为每个受保护资源建立基线。该系统通过将当前流量与这些基线进行比较来识别异常，并为请求分配怀疑分数，以便后续缓解。 **性能和准确性:** AntiDDoS AMR 在为受保护资源建立流量基线后，几分钟内检测攻击。规则集中的算法和技术使缓解时间控制在几秒内。AntiDDoS AMR 的逻辑被调整为仅阻塞恶意大流量。它使用敏感度级别和怀疑分数来最小化假阳性和假阴性。 **增强自定义:** 该 AMR 功能提供可调整的配置，包括基于系统检测到的特定事件和可疑来源请求的怀疑级别的客户管理敏感度控制。这让您可以自定义保护配置以适应特定应用类型的需求。 **内置可见性:** 作为原生 AWS WAF 功能，AntiDDoS AMR 提供所有配置控制和原生仪表板，在 AWS WAF 控制台中提供 DDoS 活动的可见性。 ### 新控制功能 AntiDDoS AMR 引入了基于 AMR 标签标记的请求怀疑级别的缓解操作，如 `Challenge` 和 `Block`。此外，它增加了灵活性，将不支持 `Challenge` 的工作负载路径从缓解中排除，默认对这些路径执行阻塞操作。此功能的关键点如下： **简化配置** - 一键启用和禁用规则，就像其他 AWS WAF AMR 一样。 - 配置哪些 URI 路径不支持 `Challenge` 操作，以确保仅在支持 `Challenge` 的 URI 路径上使用该缓解。 - 敏感度控制，以减少由于缓解导致的假阳性阻塞。 **DDoS 响应** - 通过减少假阴性（未检测事件）来提高 DDoS 检测准确性。 - 检测和缓解响应时间为几秒。 - 根据检测系统的怀疑标签，提供灵活的缓解操作，如 `Challenge` 和 `Block`。 **AntiDDoS 仪表板** - AWS WAF 控制台中的新 AntiDDoS 仪表板提供 DDoS 事件和请求摘要的实时可见性。 - 详细的匹配指标，包括缓解操作 `Challenge`、`Challenge with Valid Token` 和 `Block`。 - 如果服务[配置](https://docs.aws.amazon.com/waf/latest/developerguide/logging-cw-logs.html)为 Web ACL 的日志目标，则可以可视化 [Amazon CloudWatch](https://aws.amazon.com/cloudwatch/) 中的顶级 URI 路径、流量来源地理位置和前 100 来源 IP。 ### 开始使用 AntiDDoS AMR 要将 AntiDDoS AMR 添加到您的 Web ACL 中并启用 DDoS 保护，请按照以下步骤操作： 1. 在 AWS WAF 控制台中，从左侧菜单选择 **Web ACLs**。打开您的 Web ACL 或按照步骤[创建 Web ACL](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-creating.html)。 2. 选择 **Rules** 选项卡，然后选择 **Add rules**。选择 **Add managed rule groups** 并按照以下设置进行： 1. 在 AWS 托管规则组部分，选择开关 **Add to web ACL** 以在 Web ACL 中启用针对第7层攻击的 AntiDDoS 保护。 2. 要查看默认配置或进行更改并提供额外信息，选择 **Save** 按钮。 3. 选择 **Add rules**。 3. 为了有效检测和缓解，**AWS-AWSManagedRulesAntiDDoSRuleSet** AMR 应尽可能多地检查流量。为此，它应在 Web ACL 中具有最高优先级（换句话说，在其他规则之前运行），或放置在任何自定义规则（如 [Allow action](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-action.html) 的自定义规则下方，例如 IP 匹配条件规则列表）。这让规则组能够跟踪最多流量并在需要时应用缓解。默认情况下，添加新 AMR 时，它位于 Web ACL 优先级列表的底部。通过选择它并使用 **Move up** 按钮将其向上移动，直到 AMR 位于顶部或位于自定义规则下方（这些规则的最终结果为 **Allow** 操作，如前所述）。 4. 选择 **Save**。如果您通过 [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html) 配置 AntiDDoS AMR，则步骤 3 中的逻辑同样适用。关键点是 AMR 需要在 Web ACL 中尽可能靠前，以实现对流量的完全可见性，从而有效检测和缓解。 ### 配置新规则组新 AMR 的关键功能之一是为您提供更大的缓解控制。在本节中，我们将逐步介绍各种元素，这些元素允许您根据 Web 应用的需求调整保护，这是通过调整缓解行为来实现的。在使用 [AWS Management Console](https://console.aws.amazon.com/wafv2/homev2/start) 配置 AMR 时，默认配置已预填充。如果您使用 API 或基础设施即代码 (IaC) 工具，则需要显式传递这些设置。以下图形显示了控制台中的默认配置，可在几个维度上进行配置。 ![图 1: 规则组配置](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/03/26/Rule_group_configuration-1024x962.png) 图 1: 规则组配置在大多数场景和工作负载中，AMR 的默认设置足以提供针对大流量 DDoS 流量的强大可靠保护。此流量由与受保护资源关联的 AWS WAF 检测并阻塞。您仍然应深入了解配置细节，并了解可能想要自定义的内容以微调您的用例。规则组提供两种缓解 Web 请求的方法，这些请求针对处于 DDoS 攻击下的资源。您可以调整这两种缓解类型，使其对检测到的威胁级别更敏感或更不敏感。 - 使用 challenge 进行缓解：规则组可以针对能够处理 challenge 插页的请求发送无声浏览器 challenge。 - 通过阻塞恶意请求进行缓解：规则组可以完全阻塞请求。 Block 敏感度级别允许您指定规则 `DDoSRequests` 在规则组的 DDoS 怀疑标签匹配时的敏感度。敏感度越高，规则匹配的标签级别越低： - 低敏感度较不敏感，只匹配最明显的攻击参与者，这些参与者具有高怀疑标签 `awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request`。 - 中等敏感度导致规则匹配中等和高怀疑标签。 - 高敏感度导致规则匹配所有怀疑标签：低、中和高。在继续之前，我们应讨论 Challenge 操作和 AWS WAF 令牌。如果您使用过 AWS WAF 和规则组（如 Bot Control），您可能熟悉 AWS WAF 令牌和 Challenge 操作。Challenge 会无声运行，以帮助区分常规客户端会话和机器人会话，并增加机器人的操作成本。当 challenge 成功完成时，challenge 脚本会自动从 AWS WAF 获取新令牌（如需要），然后更新令牌的 challenge 时间戳。Challenge 操作仅能由预期 HTML 内容的客户端正确处理。有关该操作的工作原理的更多信息，请参阅 [CAPTCHA 和 Challenge 操作行为](https://docs.aws.amazon.com/waf/latest/developerguide/waf-captcha-and-challenge-how-it-works.html)。令牌（有时称为指纹）是关于单个客户端会话的信息集合，客户端存储并在每个 Web 请求中提供。AWS WAF 使用令牌来识别和分离恶意客户端会话与合法会话，即使两者都来自单个 IP 地址。令牌使用会施加客户端端的计算处理成本，对合法用户来说可以忽略不计，但对机器人网络在规模上来说代价高昂。AWS WAF 为成功响应无声 challenge 的客户端创建、更新和加密令牌。当带有令牌的客户端发送 Web 请求时，它会包含加密令牌，AWS WAF 会解密令牌并验证其内容。 **Enable Challenge** 控制是否启用规则组中的规则 `ChallengeDDoSRequests` 和 `ChallengeAllDuringEvent`。在控制台中，默认设置已预填充，这会将 `Challenge` 操作应用于匹配请求。如果您使用 API 或 IaC 工具，则需要显式传递此设置。这两个规则提供请求处理，旨在允许合法用户的请求继续，同时阻塞 DDoS 攻击的 unwanted 流量。与其他 AWS WAF 规则一样，您可以覆盖其操作设置为 `Allow` 或 `Count`，或完全禁用它们。启用 `Challenge` 后，您可以自定义其行为。对于 **Challenge 敏感度级别**，指定规则 `ChallengeDDoSRequests` 的敏感度。敏感度越高，规则匹配的标签级别越低。具体如下： - 低敏感度较不敏感，只匹配最明显的攻击参与者，这些参与者具有高怀疑标签 `awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request`。 - 中等敏感度导致规则匹配中等和高怀疑标签。 - 高敏感度导致规则匹配所有怀疑标签：低、中和高。 **Exempt URI regular expressions** 提供一个正则表达式，用于匹配无法处理无声浏览器 challenge 的 Web 请求的 URI。Challenge 操作会有效阻塞缺少 challenge 令牌的请求，除非它们能处理无声浏览器 challenge。控制台中提供的默认表达式覆盖了大多数用例，但您应根据您的应用进行审查和调整。一个常见示例是 API 前缀。控制台中预填充的默认豁免正则表达式使用 /api/。您的应用可能使用自定义名称，如 /myapi/ 或 /apiv2/。在这种情况下，应修改此设置以反映您的配置。此外，您可以为最多五个无法进行 challenge 的 URI 添加豁免。规则使用指定的正则表达式来识别无法处理 Challenge 操作的请求 URI，并防止规则发送 Challenge。按此方式排除的请求仍可被规则组中的规则 `DDoSRequests` 阻塞。 AWS WAF 支持 PCRE 库 `libpcre` 的模式语法，但有一些例外。该库的文档位于 [PCRE – Perl Compatible Regular Expressions](http://www.pcre.org/)。有关 AWS WAF 支持的信息，请参阅 [AWS WAF 中支持的正则表达式语法](https://docs.aws.amazon.com/waf/latest/developerguide/waf-regex-pattern-support.html)。 ### AntiDDoS AMR 在实际中的应用 AWS WAF Web ACL 提供 [流量概述仪表板](https://aws.amazon.com/blogs/security/introducing-the-aws-waf-traffic-overview-dashboard/)，以获得更好的可见性和基于仪表板洞察的决策信息。伴随着新 AMR，AWS WAF 现在有一个新的 AntiDDoS 仪表板，专为该规则组设计。以下图形显示了由 AntiDDoS AMR 检查的流量的典型流量概述仪表板布局。 ![图 2: 显示检查流量的整体统计的仪表板部分](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/03/26/Picture2-11.png) 图 2: 显示检查流量的整体统计的仪表板部分在仪表板中，您可以获取所选时间段内针对请求采取的操作信息，以及最受影响的资源，以快速评估您的 Web 资源中的目标。您还可以观察 challenged 请求的细分。以下仪表板可与 AntiDDoS AMR 一起使用： 1. 托管规则组的标签：所有由 AntiDDoS AMR 根据检测事件、请求怀疑级别和每个托管规则的标签生成的标签。 2. 终止规则操作，如 **Challenge** 和 **Block**，**Total Challenged Requests** 与 **Total** 和 **ChallengeRuleMatchWithValidToken** 的比较。一个请求可能发出多个 **ChallengeRuleMatchWithValidToken** 指标，如果它匹配多个 challenge 规则。 ![图 3: 显示多个类别细节的仪表板部分，并说明缓解统计](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/03/26/Picture3-7.png) 图 3: 显示多个类别细节的仪表板部分，并说明缓解统计如果您将 [AWS WAF 日志发送到 CloudWatch](https://docs.aws.amazon.com/waf/latest/developerguide/logging-cw-logs.html)，则可以可视化更多数据，例如： - 流量来源地理位置：标识流量来源的顶级国家。 - URI 路径：按请求频率排名的前沿 URI 路径。 - 客户端 IP：按请求频率排名的前 100 客户端 IP。 [CloudWatch 中可用的资源级指标](https://docs.aws.amazon.com/waf/latest/developerguide/monitoring-cloudwatch.html)允许您分析趋势和数据，以推断规则集的功效。 ### AntiDDoS AMR 生成的标签 [标签](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-label-overview.html)，作为附加到检查请求的元数据，是更好地理解流量和请求组成的一个伟大机制。新 AMR 也不例外，它在标签命名空间前缀 `awswaf:managed:aws:anti-ddos:` 下为适用的请求添加以下标签。此 AMR 的标签可分为以下三个类别。 **缓解** `ddos-request` – 当 AMR 检测到 DDoS 事件并将请求识别为来自可疑来源时发出。 `event-detected` – 当 AMR 为所有请求（如合法和攻击请求）检测到 DDoS 事件时发出。 `DDoSRequests` – 当 DDoSRequests 规则匹配请求时发出。 **Challenge 相关类别** `ChallengeAllDuringEvent` – 当 ChallengeAllDuringEvent 规则匹配请求时发出。 `challengeable-request` – 可进行 challenge 的请求（如排除正则表达式中的 URI），使用此名称标记。 `ChallengeDDoSRequests` – 当 challengeable-request 匹配请求时发出。 Challenge 相关标签有助于进行审查和验证配置是否符合您的要求。例如，给定 `challengeable-request` 添加到所有不匹配 `ExemptURIRegex` 的请求，您可以在 AWS WAF 日志中验证该标签，以查看它是否为可 challenge 流量正确标记。 **怀疑级别** `high-suspicion-ddos-request` – 当 AMR 识别请求来自高度可疑来源时发出。 `low-suspicion-ddos-request` – 当 AMR 识别请求为可能的 DDoS 攻击请求时发出。 `medium-suspicion-ddos-request` – 当 AMR 识别请求为来自非常可能来源的 DDoS 攻击请求时发出。怀疑标签可用于自定义 AWS WAF 规则中添加额外逻辑。例如，您可以对具有低怀疑级别的请求进行速率限制，以保护您的 Web 应用，同时避免完全阻塞导致的假阳性。另一个选项是基于标签阻塞不可 challenge 的请求，即处理非 HTML 内容。 ![图 4: 流量特征的细节，如目标 URI 和来源地理位置。此数据有助于通过在规则中配置额外逻辑来加强保护。](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/03/26/Picture4-Picsart-AiImageEnhancer.png) 图 4: 流量特征的细节，如目标 URI 和来源地理位置。此数据有助于通过在规则中配置额外逻辑来加强保护。 ### 可用性和定价发布时，AntiDDoS AMR 可用于与 [Amazon CloudFront](https://aws.amazon.com/cloudfront/) 关联的 AWS WAF Web ACL，以及其他由 WAF 支持的 AWS 服务，如 [Application Load Balancer (ALB)](https://aws.amazon.com/elasticloadbalancing/application-load-balancer/)。 AntiDDoS AMR 支持现有的 AWS WAF 功能，包括 scope-down 语句、标签和标签匹配语句。要有选择地仅将 AntiDDoS AMR 应用于 Web 应用的某些部分，您可以使用 scope-down 语句。然而，这不推荐，因为它会降低保护的功效和准确性。 AntiDDoS AMR 是一个付费的 AWS 托管规则，可添加到您的 Web ACL 中，并消耗 50 WCUs。定价取决于您是 Shield Advanced 客户还是 WAF 客户。如果您是现有 Shield Advanced 客户，此功能将作为订阅的一部分。我们将每个付费帐户限制为每月 50 亿 Shield 保护 WAF 请求。如果您超过 50 亿请求，则每百万请求收取 0.15 美元。大多数 AWS Shield Advanced 客户不会看到其 AWS 账单有任何影响。此更改从 2025 年 10 月或您现有年度订阅的第一个完整日历月（以较晚者为准）开始。在此之前，如果您是现有 Shield Advanced 客户且每月请求超过 50 亿，则您的账单不会变化。对于新 Shield Advanced 客户（即在发布日没有活跃订阅的客户），限制从其订阅开始日期起适用。重要的是，对于 Shield Advanced 和 WAF 客户，AWS 不会为检测为 DDoS 且未传递到后端的请求收费，因为规则处于 Count 模式。因此，对于 Shield Advanced 客户，任何检测为 DDoS 的请求都不会计入 50 亿捆绑每月请求。我们引入此更改是因为引言中讨论的威胁格局变化，以及这一变化如何影响第7层攻击的使用和成本。Shield Advanced 客户拥有无限 WAF 使用量，但必须手动制作并不断更新自己的规则以处理 DDoS 用例。新 AntiDDoS AMR 的改进自动化和速度大大有利于所有 WAF 和 Shield Advanced 客户，尤其是高使用量客户，他们需要更好的价值。我们将继续投资于功能，以进一步提高检测速度和缓解功效，并提供更大的可见性和洞察。我们将通过将新 AntiDDoS AMR 功能集成到 Shield 控制台中，进一步简化 onboarding 体验。如果您是 AWS WAF 客户，这是新的可选功能。每个 AntiDDoS AMR 每月收费 20 美元，按小时 prorated。此 AMR 在基本 WAF 收费（每百万 0.60 美元）之外，每百万请求额外收费 0.15 美元。 ### 结语 AWS WAF 托管规则 AntiDDoS AMR 让您使用熟悉且现有的 AWS WAF 组件及其 Web ACL 模型来保护 Web 应用免受不断增长的第7层 DDoS 攻击。在本帖中，您了解了规则组如何自动创建流量基线并区分 DDoS 与合法流量。我们涵盖了规则集内部、自定义选项、最优 ACL 位置以及基于您的需求处理可疑流量的方法。有关更多信息，请查看 [AWS WAF 托管规则 AntiDDoS AMR 文档](https://docs.aws.amazon.com/waf/latest/developerguide/waf-anti-ddos.html)。 AntiDDoS AMR 被设计为满足大多数用例，并成为针对 Web 应用 DDoS 安全性的默认选项。但是，如果您更喜欢具有 Shield Response Team 访问权限的托管 DDoS 保护，请探索 [Shield Advanced](https://aws.amazon.com/shield/)。 ### 作者简介 ** ![](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/06/05/tscholl-1.jpg) Tom Scholl** AWS 副总裁兼杰出工程师 Tom 与全球网络合作，通过在源头跟踪恶意行为者的流量来阻止网络攻击。 ** ![](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/06/05/badgephotos.amazon.com_-225x300-1.jpg) Dmitriy Novikov** 作为 AWS 高级解决方案架构师，Dmitriy 支持 AWS 客户使用新兴技术产生业务价值。他是一位技术爱好者，喜欢为复杂挑战找到创新解决方案。 ** ![](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/06/11/Mark_Ryland_2018_120x160px-2.jpg) Mark Ryland** Mark 是 AWS CISO 办公室的主任。他拥有超过 28 年的技术行业经验，并在网络安全、软件工程、分布式系统、技术标准化和公共政策等领域担任领导角色。