Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS Shieldだけで大丈夫? ~DDoS攻撃対策~

Daiki_Yamaguchi
June 29, 2023
38

AWS Shieldだけで大丈夫? ~DDoS攻撃対策~

Daiki_Yamaguchi

June 29, 2023
Tweet

Transcript

  1. アジェンダ ・DDoS攻撃とは • AWS Shield • AWS Web Application Firewall

    (WAF) • やってみた • 原因 • 対策 • 今日伝えたかった事 #aws_lt_saison_btc 3
  2. DDoS攻撃とは 主にOSI参照モデルでいう、第3層、4層、7層に対し仕掛けられる • アプリケーション層 7層 • プレゼンテーション層 6層 • セッション層

    5層 • トランスポート層 4層 • ネットワーク層 3層 • データリンク層 2層 • 物理層 1層 HTTP(S)フラッド攻撃 SYNフラッド攻撃 Pingフラッド攻撃 ・大量のHTTP(S)リクエストを送信し、 サーバを処理落ちさせる ・ACKを送信せず、SYNのみを送り続け、 新しい接続を受け付けない状態にする ・大量にエコー要求パケットを送り付け、 ネットワークをダウンさせる #aws_lt_saison_btc 5
  3. AWS Shield AWSサービスに対する、DDoS攻撃を防ぐサービス 無償のStandardと月額課金のAdvancedがある 項目 Standard Advanced 料金 無償 月額$3,000

    対象レイヤ (OSI参照モデル) 3、4層 3、4、7層 対象サービス すべて EC2、ELB、CloudFront、 Global Accelerator 専門サポート(SRT) なし 24h/365dサポート (設定したサービスのみ) 攻撃で使用されたリソース 利用料の補填 なし 攻撃で料金が上がった場合、 申請できる …etc #aws_lt_saison_btc 8
  4. やってみた Shield Standardで3,4層の防御 WAFで7層の防御 Container Container Container Container AWS Fargate

    Amazon Aurora AWS Shield Application Load Balancer AWS WAF Internet #aws_lt_saison_btc 11
  5. 対応したこと • IPブロック • 別のIPを使用して攻撃 • リクエストの特定文字列削除 • 特定文字列を削除して攻撃 •

    攻撃元IPへのWAFでカスタムレスポンス(503) • 別のIPを使用して攻撃 #aws_lt_saison_btc 14