Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS Shieldだけで大丈夫? ~DDoS攻撃対策~
Search
Daiki_Yamaguchi
June 29, 2023
0
63
AWS Shieldだけで大丈夫? ~DDoS攻撃対策~
Daiki_Yamaguchi
June 29, 2023
Tweet
Share
More Decks by Daiki_Yamaguchi
See All by Daiki_Yamaguchi
チョットワカル!SIEM on Amazon OpenSearch Service
daikiyamaguchi
1
820
LambdaSnapStart使ってみた
daikiyamaguchi
0
120
Featured
See All Featured
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
32
2.3k
Code Review Best Practice
trishagee
68
18k
Code Reviewing Like a Champion
maltzj
524
40k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
229
22k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
45
7.5k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
231
53k
KATA
mclloyd
30
14k
Docker and Python
trallard
44
3.4k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
20
1.3k
For a Future-Friendly Web
brad_frost
179
9.8k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
130
19k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
48
2.8k
Transcript
AWS Shieldだけで大丈夫? ~DDoS攻撃対策~ 2023年6月29日 株式会社セゾン情報システムズ 山口大輝
自己紹介 名前:山口 大輝(やまぐち だいき) 所属:株式会社セゾン情報システムズ 前職:空港でHWの運用保守展開サービスのエンジニア 現職:AWSエンジニア歴2年 AWSインフラの提案から運用まで一括して担当 Qiita:@Daiki_Yamaguchi Twitter:@d92_cl
#aws_lt_saison_btc 2
アジェンダ ・DDoS攻撃とは • AWS Shield • AWS Web Application Firewall
(WAF) • やってみた • 原因 • 対策 • 今日伝えたかった事 #aws_lt_saison_btc 3
DDoS攻撃とは 複数のコンピュータから、ウェブサイトなどのサーバに対して大量のアクセスや データを送り付け、サーバに負荷をかける攻撃 #aws_lt_saison_btc 4
DDoS攻撃とは 主にOSI参照モデルでいう、第3層、4層、7層に対し仕掛けられる • アプリケーション層 7層 • プレゼンテーション層 6層 • セッション層
5層 • トランスポート層 4層 • ネットワーク層 3層 • データリンク層 2層 • 物理層 1層 HTTP(S)フラッド攻撃 SYNフラッド攻撃 Pingフラッド攻撃 ・大量のHTTP(S)リクエストを送信し、 サーバを処理落ちさせる ・ACKを送信せず、SYNのみを送り続け、 新しい接続を受け付けない状態にする ・大量にエコー要求パケットを送り付け、 ネットワークをダウンさせる #aws_lt_saison_btc 5
対応できるAWSサービスは…? #aws_lt_saison_btc 6
AWS Shield ・ ・ ・ #aws_lt_saison_btc 7
AWS Shield AWSサービスに対する、DDoS攻撃を防ぐサービス 無償のStandardと月額課金のAdvancedがある 項目 Standard Advanced 料金 無償 月額$3,000
対象レイヤ (OSI参照モデル) 3、4層 3、4、7層 対象サービス すべて EC2、ELB、CloudFront、 Global Accelerator 専門サポート(SRT) なし 24h/365dサポート (設定したサービスのみ) 攻撃で使用されたリソース 利用料の補填 なし 攻撃で料金が上がった場合、 申請できる …etc #aws_lt_saison_btc 8
Advanced 契約するしかないの…? (月額$3,000…) #aws_lt_saison_btc 9
AWS Web Application Firewall (WAF) OSI参照モデル 7層に対して動作するファイアウォール AWSリソースに関連付けて、リクエストの監視ができる WAF 利用者
利用者 攻撃者 不正リクエスト 通常リクエスト 通常リクエスト #aws_lt_saison_btc 10
やってみた Shield Standardで3,4層の防御 WAFで7層の防御 Container Container Container Container AWS Fargate
Amazon Aurora AWS Shield Application Load Balancer AWS WAF Internet #aws_lt_saison_btc 11
HTTP(S)フラッド攻撃を受けてしまった… #aws_lt_saison_btc 12
原因 ブロック対象としてWAFのルールに追加していたIP以外からの大量リクエスト →対象以外のIPからの攻撃はAWSの用意したマネージドルールで防げると 思っていた… ※マネージドルールの詳細は公開されていない #aws_lt_saison_btc 13
対応したこと • IPブロック • 別のIPを使用して攻撃 • リクエストの特定文字列削除 • 特定文字列を削除して攻撃 •
攻撃元IPへのWAFでカスタムレスポンス(503) • 別のIPを使用して攻撃 #aws_lt_saison_btc 14
対策 • WAFのレートベースルールを作成し、抽出されたIPを数分おきに 確認し、IPBlockリストへ自動的に追加する。 レートベースRule Amazon EventBridge AWS Lambda AWS
WAF ブロックRule (一時的) 恒久 数分おきに実行 #aws_lt_saison_btc 15 IPの取得 IPの登録
今日伝えたかった事 • AWS Shield Standardだけじゃ7層の攻撃に耐えられない • Advancedに加入するか、WAFを使用して攻撃を防ごう • AWSの用意するWAFのマネージドルールを適用すれば万事OKというわ けではない
• いたちごっこなので、毎回対応するのは不毛。できることは自動化しよう! #aws_lt_saison_btc 16
参考文献 • https://www.cloudflare.com/ja-jp/learning/ddos/layer-3- ddos-attacks/ • アプリケーション層へのDDoS攻撃(CloudFlare) • https://www.shadan-kun.com/blog/measure/1426/ • DDoS攻撃の主な攻撃手法8つの特徴をまとめてみた(Cyber
Security TIMES) #aws_lt_saison_btc 17
daikiyamaguchi
jcasabona
trishagee
maltzj
danielanewman
eileencodes
destraynor
mclloyd
trallard
honnibal
brad_frost
morganepeng
tammyeverts
