Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS Shieldだけで大丈夫? ~DDoS攻撃対策~
Search
Daiki_Yamaguchi
June 29, 2023
0
66
AWS Shieldだけで大丈夫? ~DDoS攻撃対策~
Daiki_Yamaguchi
June 29, 2023
Tweet
Share
More Decks by Daiki_Yamaguchi
See All by Daiki_Yamaguchi
チョットワカル!SIEM on Amazon OpenSearch Service
daikiyamaguchi
1
830
LambdaSnapStart使ってみた
daikiyamaguchi
0
120
Featured
See All Featured
Gamification - CAS2011
davidbonilla
81
5.4k
Documentation Writing (for coders)
carmenintech
72
4.9k
Optimising Largest Contentful Paint
csswizardry
37
3.3k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
8
830
Understanding Cognitive Biases in Performance Measurement
bluesmoon
29
1.8k
Embracing the Ebb and Flow
colly
86
4.8k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
47
9.6k
VelocityConf: Rendering Performance Case Studies
addyosmani
332
24k
RailsConf 2023
tenderlove
30
1.1k
Intergalactic Javascript Robots from Outer Space
tanoku
271
27k
Keith and Marios Guide to Fast Websites
keithpitt
411
22k
No one is an island. Learnings from fostering a developers community.
thoeni
21
3.4k
Transcript
AWS Shieldだけで大丈夫? ~DDoS攻撃対策~ 2023年6月29日 株式会社セゾン情報システムズ 山口大輝
自己紹介 名前:山口 大輝(やまぐち だいき) 所属:株式会社セゾン情報システムズ 前職:空港でHWの運用保守展開サービスのエンジニア 現職:AWSエンジニア歴2年 AWSインフラの提案から運用まで一括して担当 Qiita:@Daiki_Yamaguchi Twitter:@d92_cl
#aws_lt_saison_btc 2
アジェンダ ・DDoS攻撃とは • AWS Shield • AWS Web Application Firewall
(WAF) • やってみた • 原因 • 対策 • 今日伝えたかった事 #aws_lt_saison_btc 3
DDoS攻撃とは 複数のコンピュータから、ウェブサイトなどのサーバに対して大量のアクセスや データを送り付け、サーバに負荷をかける攻撃 #aws_lt_saison_btc 4
DDoS攻撃とは 主にOSI参照モデルでいう、第3層、4層、7層に対し仕掛けられる • アプリケーション層 7層 • プレゼンテーション層 6層 • セッション層
5層 • トランスポート層 4層 • ネットワーク層 3層 • データリンク層 2層 • 物理層 1層 HTTP(S)フラッド攻撃 SYNフラッド攻撃 Pingフラッド攻撃 ・大量のHTTP(S)リクエストを送信し、 サーバを処理落ちさせる ・ACKを送信せず、SYNのみを送り続け、 新しい接続を受け付けない状態にする ・大量にエコー要求パケットを送り付け、 ネットワークをダウンさせる #aws_lt_saison_btc 5
対応できるAWSサービスは…? #aws_lt_saison_btc 6
AWS Shield ・ ・ ・ #aws_lt_saison_btc 7
AWS Shield AWSサービスに対する、DDoS攻撃を防ぐサービス 無償のStandardと月額課金のAdvancedがある 項目 Standard Advanced 料金 無償 月額$3,000
対象レイヤ (OSI参照モデル) 3、4層 3、4、7層 対象サービス すべて EC2、ELB、CloudFront、 Global Accelerator 専門サポート(SRT) なし 24h/365dサポート (設定したサービスのみ) 攻撃で使用されたリソース 利用料の補填 なし 攻撃で料金が上がった場合、 申請できる …etc #aws_lt_saison_btc 8
Advanced 契約するしかないの…? (月額$3,000…) #aws_lt_saison_btc 9
AWS Web Application Firewall (WAF) OSI参照モデル 7層に対して動作するファイアウォール AWSリソースに関連付けて、リクエストの監視ができる WAF 利用者
利用者 攻撃者 不正リクエスト 通常リクエスト 通常リクエスト #aws_lt_saison_btc 10
やってみた Shield Standardで3,4層の防御 WAFで7層の防御 Container Container Container Container AWS Fargate
Amazon Aurora AWS Shield Application Load Balancer AWS WAF Internet #aws_lt_saison_btc 11
HTTP(S)フラッド攻撃を受けてしまった… #aws_lt_saison_btc 12
原因 ブロック対象としてWAFのルールに追加していたIP以外からの大量リクエスト →対象以外のIPからの攻撃はAWSの用意したマネージドルールで防げると 思っていた… ※マネージドルールの詳細は公開されていない #aws_lt_saison_btc 13
対応したこと • IPブロック • 別のIPを使用して攻撃 • リクエストの特定文字列削除 • 特定文字列を削除して攻撃 •
攻撃元IPへのWAFでカスタムレスポンス(503) • 別のIPを使用して攻撃 #aws_lt_saison_btc 14
対策 • WAFのレートベースルールを作成し、抽出されたIPを数分おきに 確認し、IPBlockリストへ自動的に追加する。 レートベースRule Amazon EventBridge AWS Lambda AWS
WAF ブロックRule (一時的) 恒久 数分おきに実行 #aws_lt_saison_btc 15 IPの取得 IPの登録
今日伝えたかった事 • AWS Shield Standardだけじゃ7層の攻撃に耐えられない • Advancedに加入するか、WAFを使用して攻撃を防ごう • AWSの用意するWAFのマネージドルールを適用すれば万事OKというわ けではない
• いたちごっこなので、毎回対応するのは不毛。できることは自動化しよう! #aws_lt_saison_btc 16
参考文献 • https://www.cloudflare.com/ja-jp/learning/ddos/layer-3- ddos-attacks/ • アプリケーション層へのDDoS攻撃(CloudFlare) • https://www.shadan-kun.com/blog/measure/1426/ • DDoS攻撃の主な攻撃手法8つの特徴をまとめてみた(Cyber
Security TIMES) #aws_lt_saison_btc 17