Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS Shieldだけで大丈夫? ~DDoS攻撃対策~
Search
Daiki_Yamaguchi
June 29, 2023
79
0
Share
AWS Shieldだけで大丈夫? ~DDoS攻撃対策~
Daiki_Yamaguchi
June 29, 2023
More Decks by Daiki_Yamaguchi
See All by Daiki_Yamaguchi
チョットワカル!SIEM on Amazon OpenSearch Service
daikiyamaguchi
1
880
LambdaSnapStart使ってみた
daikiyamaguchi
0
140
Featured
See All Featured
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
PRO
199
73k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
31
2.8k
The Hidden Cost of Media on the Web [PixelPalooza 2025]
tammyeverts
2
270
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
46
2.8k
Mind Mapping
helmedeiros
PRO
1
150
A Guide to Academic Writing Using Generative AI - A Workshop
ks91
PRO
1
270
Avoiding the “Bad Training, Faster” Trap in the Age of AI
tmiket
0
130
XXLCSS - How to scale CSS and keep your sanity
sugarenia
250
1.3M
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
32
2.8k
Intergalactic Javascript Robots from Outer Space
tanoku
273
27k
How to Ace a Technical Interview
jacobian
281
24k
Stop Working from a Prison Cell
hatefulcrawdad
274
21k
Transcript
AWS Shieldだけで大丈夫? ~DDoS攻撃対策~ 2023年6月29日 株式会社セゾン情報システムズ 山口大輝
自己紹介 名前:山口 大輝(やまぐち だいき) 所属:株式会社セゾン情報システムズ 前職:空港でHWの運用保守展開サービスのエンジニア 現職:AWSエンジニア歴2年 AWSインフラの提案から運用まで一括して担当 Qiita:@Daiki_Yamaguchi Twitter:@d92_cl
#aws_lt_saison_btc 2
アジェンダ ・DDoS攻撃とは • AWS Shield • AWS Web Application Firewall
(WAF) • やってみた • 原因 • 対策 • 今日伝えたかった事 #aws_lt_saison_btc 3
DDoS攻撃とは 複数のコンピュータから、ウェブサイトなどのサーバに対して大量のアクセスや データを送り付け、サーバに負荷をかける攻撃 #aws_lt_saison_btc 4
DDoS攻撃とは 主にOSI参照モデルでいう、第3層、4層、7層に対し仕掛けられる • アプリケーション層 7層 • プレゼンテーション層 6層 • セッション層
5層 • トランスポート層 4層 • ネットワーク層 3層 • データリンク層 2層 • 物理層 1層 HTTP(S)フラッド攻撃 SYNフラッド攻撃 Pingフラッド攻撃 ・大量のHTTP(S)リクエストを送信し、 サーバを処理落ちさせる ・ACKを送信せず、SYNのみを送り続け、 新しい接続を受け付けない状態にする ・大量にエコー要求パケットを送り付け、 ネットワークをダウンさせる #aws_lt_saison_btc 5
対応できるAWSサービスは…? #aws_lt_saison_btc 6
AWS Shield ・ ・ ・ #aws_lt_saison_btc 7
AWS Shield AWSサービスに対する、DDoS攻撃を防ぐサービス 無償のStandardと月額課金のAdvancedがある 項目 Standard Advanced 料金 無償 月額$3,000
対象レイヤ (OSI参照モデル) 3、4層 3、4、7層 対象サービス すべて EC2、ELB、CloudFront、 Global Accelerator 専門サポート(SRT) なし 24h/365dサポート (設定したサービスのみ) 攻撃で使用されたリソース 利用料の補填 なし 攻撃で料金が上がった場合、 申請できる …etc #aws_lt_saison_btc 8
Advanced 契約するしかないの…? (月額$3,000…) #aws_lt_saison_btc 9
AWS Web Application Firewall (WAF) OSI参照モデル 7層に対して動作するファイアウォール AWSリソースに関連付けて、リクエストの監視ができる WAF 利用者
利用者 攻撃者 不正リクエスト 通常リクエスト 通常リクエスト #aws_lt_saison_btc 10
やってみた Shield Standardで3,4層の防御 WAFで7層の防御 Container Container Container Container AWS Fargate
Amazon Aurora AWS Shield Application Load Balancer AWS WAF Internet #aws_lt_saison_btc 11
HTTP(S)フラッド攻撃を受けてしまった… #aws_lt_saison_btc 12
原因 ブロック対象としてWAFのルールに追加していたIP以外からの大量リクエスト →対象以外のIPからの攻撃はAWSの用意したマネージドルールで防げると 思っていた… ※マネージドルールの詳細は公開されていない #aws_lt_saison_btc 13
対応したこと • IPブロック • 別のIPを使用して攻撃 • リクエストの特定文字列削除 • 特定文字列を削除して攻撃 •
攻撃元IPへのWAFでカスタムレスポンス(503) • 別のIPを使用して攻撃 #aws_lt_saison_btc 14
対策 • WAFのレートベースルールを作成し、抽出されたIPを数分おきに 確認し、IPBlockリストへ自動的に追加する。 レートベースRule Amazon EventBridge AWS Lambda AWS
WAF ブロックRule (一時的) 恒久 数分おきに実行 #aws_lt_saison_btc 15 IPの取得 IPの登録
今日伝えたかった事 • AWS Shield Standardだけじゃ7層の攻撃に耐えられない • Advancedに加入するか、WAFを使用して攻撃を防ごう • AWSの用意するWAFのマネージドルールを適用すれば万事OKというわ けではない
• いたちごっこなので、毎回対応するのは不毛。できることは自動化しよう! #aws_lt_saison_btc 16
参考文献 • https://www.cloudflare.com/ja-jp/learning/ddos/layer-3- ddos-attacks/ • アプリケーション層へのDDoS攻撃(CloudFlare) • https://www.shadan-kun.com/blog/measure/1426/ • DDoS攻撃の主な攻撃手法8つの特徴をまとめてみた(Cyber
Security TIMES) #aws_lt_saison_btc 17
daikiyamaguchi
soudai
marktimemedia
tammyeverts
bcantrill
helmedeiros
ks91
tmiket
sugarenia
garrettdimon
tanoku
jacobian
hatefulcrawdad
