Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS Shieldだけで大丈夫? ~DDoS攻撃対策~
Search
Daiki_Yamaguchi
June 29, 2023
0
57
AWS Shieldだけで大丈夫? ~DDoS攻撃対策~
Daiki_Yamaguchi
June 29, 2023
Tweet
Share
More Decks by Daiki_Yamaguchi
See All by Daiki_Yamaguchi
チョットワカル!SIEM on Amazon OpenSearch Service
daikiyamaguchi
1
760
LambdaSnapStart使ってみた
daikiyamaguchi
0
110
Featured
See All Featured
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
330
21k
How to Think Like a Performance Engineer
csswizardry
22
1.3k
Optimising Largest Contentful Paint
csswizardry
33
3k
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
6
220
What's in a price? How to price your products and services
michaelherold
244
12k
Testing 201, or: Great Expectations
jmmastey
41
7.2k
Producing Creativity
orderedlist
PRO
343
39k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
28
2.2k
A better future with KSS
kneath
238
17k
Raft: Consensus for Rubyists
vanstee
137
6.8k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.4k
The Illustrated Children's Guide to Kubernetes
chrisshort
48
49k
Transcript
AWS Shieldだけで大丈夫? ~DDoS攻撃対策~ 2023年6月29日 株式会社セゾン情報システムズ 山口大輝
自己紹介 名前:山口 大輝(やまぐち だいき) 所属:株式会社セゾン情報システムズ 前職:空港でHWの運用保守展開サービスのエンジニア 現職:AWSエンジニア歴2年 AWSインフラの提案から運用まで一括して担当 Qiita:@Daiki_Yamaguchi Twitter:@d92_cl
#aws_lt_saison_btc 2
アジェンダ ・DDoS攻撃とは • AWS Shield • AWS Web Application Firewall
(WAF) • やってみた • 原因 • 対策 • 今日伝えたかった事 #aws_lt_saison_btc 3
DDoS攻撃とは 複数のコンピュータから、ウェブサイトなどのサーバに対して大量のアクセスや データを送り付け、サーバに負荷をかける攻撃 #aws_lt_saison_btc 4
DDoS攻撃とは 主にOSI参照モデルでいう、第3層、4層、7層に対し仕掛けられる • アプリケーション層 7層 • プレゼンテーション層 6層 • セッション層
5層 • トランスポート層 4層 • ネットワーク層 3層 • データリンク層 2層 • 物理層 1層 HTTP(S)フラッド攻撃 SYNフラッド攻撃 Pingフラッド攻撃 ・大量のHTTP(S)リクエストを送信し、 サーバを処理落ちさせる ・ACKを送信せず、SYNのみを送り続け、 新しい接続を受け付けない状態にする ・大量にエコー要求パケットを送り付け、 ネットワークをダウンさせる #aws_lt_saison_btc 5
対応できるAWSサービスは…? #aws_lt_saison_btc 6
AWS Shield ・ ・ ・ #aws_lt_saison_btc 7
AWS Shield AWSサービスに対する、DDoS攻撃を防ぐサービス 無償のStandardと月額課金のAdvancedがある 項目 Standard Advanced 料金 無償 月額$3,000
対象レイヤ (OSI参照モデル) 3、4層 3、4、7層 対象サービス すべて EC2、ELB、CloudFront、 Global Accelerator 専門サポート(SRT) なし 24h/365dサポート (設定したサービスのみ) 攻撃で使用されたリソース 利用料の補填 なし 攻撃で料金が上がった場合、 申請できる …etc #aws_lt_saison_btc 8
Advanced 契約するしかないの…? (月額$3,000…) #aws_lt_saison_btc 9
AWS Web Application Firewall (WAF) OSI参照モデル 7層に対して動作するファイアウォール AWSリソースに関連付けて、リクエストの監視ができる WAF 利用者
利用者 攻撃者 不正リクエスト 通常リクエスト 通常リクエスト #aws_lt_saison_btc 10
やってみた Shield Standardで3,4層の防御 WAFで7層の防御 Container Container Container Container AWS Fargate
Amazon Aurora AWS Shield Application Load Balancer AWS WAF Internet #aws_lt_saison_btc 11
HTTP(S)フラッド攻撃を受けてしまった… #aws_lt_saison_btc 12
原因 ブロック対象としてWAFのルールに追加していたIP以外からの大量リクエスト →対象以外のIPからの攻撃はAWSの用意したマネージドルールで防げると 思っていた… ※マネージドルールの詳細は公開されていない #aws_lt_saison_btc 13
対応したこと • IPブロック • 別のIPを使用して攻撃 • リクエストの特定文字列削除 • 特定文字列を削除して攻撃 •
攻撃元IPへのWAFでカスタムレスポンス(503) • 別のIPを使用して攻撃 #aws_lt_saison_btc 14
対策 • WAFのレートベースルールを作成し、抽出されたIPを数分おきに 確認し、IPBlockリストへ自動的に追加する。 レートベースRule Amazon EventBridge AWS Lambda AWS
WAF ブロックRule (一時的) 恒久 数分おきに実行 #aws_lt_saison_btc 15 IPの取得 IPの登録
今日伝えたかった事 • AWS Shield Standardだけじゃ7層の攻撃に耐えられない • Advancedに加入するか、WAFを使用して攻撃を防ごう • AWSの用意するWAFのマネージドルールを適用すれば万事OKというわ けではない
• いたちごっこなので、毎回対応するのは不毛。できることは自動化しよう! #aws_lt_saison_btc 16
参考文献 • https://www.cloudflare.com/ja-jp/learning/ddos/layer-3- ddos-attacks/ • アプリケーション層へのDDoS攻撃(CloudFlare) • https://www.shadan-kun.com/blog/measure/1426/ • DDoS攻撃の主な攻撃手法8つの特徴をまとめてみた(Cyber
Security TIMES) #aws_lt_saison_btc 17
daikiyamaguchi
caitiem20
csswizardry
sergeychernyshev
michaelherold
jmmastey
orderedlist
marktimemedia
kneath
vanstee
danielanewman
chrisshort
