この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
AWS WAFのレートベースルールでは、しきい値を超えたスピードでリクエストを送るIPアドレスをブラックリストに追加できます。今回はURIにadminが含まれるページにだけレートベースルールを適用しました。
構成
WAFを適用したALB,EC2の構成を検証に利用します。Web ACLでは、レートベースルールをBlock、デフォルトのアクションをAllowにします。
設定方法
コンディション「String and regex match conditions」を作成します。URIを小文字に変換してから、adminが含まれているか確認するフィルターを設定します。
レートベースのルールを作成します。
作成したコンディションを指定し、レートリミットを指定します。今回は100としました。これでadminが含まれるURIに対して、5分間に100以上のリクエストがあった場合に、そのIPアドレスはブラックリストに登録されます。
Apache Benchでしきい値を超えた接続を行うと、ブラックリストに登録される
200回の接続を行ったところ、全ての通信が許可されました。
ab -n 200 -c 1 http://alb-123456678.ap-northeast-1.elb.amazonaws.com/admin/
(略)
Complete requests: 200
Failed requests: 0
Total transferred: 55051 bytes
(略)時間をおかずに再度200回接続したところ、196の接続が遮断されました。
Complete requests: 200
Failed requests: 196
(Connect: 0, Receive: 0, Length: 196, Exceptions: 0)
Non-2xx responses: 1963回目の接続では、全てが遮断されました。
Complete requests: 200
Failed requests: 0
Non-2xx responses: 200ブラウザから、http://alb-123456678.ap-northeast-1.elb.amazonaws.com/admin/に接続すると、403 Forbiddenと表示されました。
レートベースルールをみると、ブラックリストに登録されたIPアドレスを確認できます。
ブラックリストに登録されていても、adminページ以外へは接続できます。
CloudWatchメトリクスで状況をざっくり把握する
BlockedRequestsメトリクスで、ブロックした通信数を確認できます。ざっくりとした状況判断には使いやすいです。
AWS WAFログにはレートベースでブロックした旨が残る
WAFのログをAthenaで見てみましょう。手順はこちらを参照ください。以下のようにレートベースルールでブロックしていることがわかります。
- terminatingruletype:RATE_BASED
- ratebasedrulelist:[{ratebasedruleid=48edXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX, limitkey=IP, maxrateallowed=100}]
ratebasedruleidは、AWS WAFコンソールからも確認できます。ログに記録されたIDと作成したレートベースルールのIDが一致しています。
ブラックリストからは自動で解除される
レートベースで登録されたブラックリストからは、時間が経つと自動的に解除されます。
おわりに
AWS WAFのレートベースルールについて、ご紹介しました。しきい値を超えるペースで接続したIPアドレスについて、ブラックリストに登録され、接続が拒否されました。拒否されたクライアントには403 Forbiddenが表示されます。レートベースの効果を確認するには、CloudWatchメトリクスやAthenaでAWS WAFのログを確認します。ログイン画面、管理画面、ユーザー情報の登録画面など、特定のURIにだけレートベース制限をかけられますので、本ブログを参考に設定いただけますと幸いです。
5
