Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS Shieldだけで大丈夫? ~DDoS攻撃対策~

Daiki_Yamaguchi
June 29, 2023
0
54

AWS Shieldだけで大丈夫? ~DDoS攻撃対策~

Daiki_Yamaguchi

June 29, 2023
Tweet

More Decks by Daiki_Yamaguchi

See All by Daiki_Yamaguchi
チョットワカル!SIEM on Amazon OpenSearch Service
daikiyamaguchi
1
720
LambdaSnapStart使ってみた
daikiyamaguchi
0
110

Featured

See All Featured
Designing on Purpose - Digital PM Summit 2013
jponch
116
7k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
159
15k
Making the Leap to Tech Lead
cromwellryan
133
9k
Art, The Web, and Tiny UX
lynnandtonic
298
20k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
28
4.4k
Site-Speed That Sticks
csswizardry
2
190
Adopting Sorbet at Scale
ufuk
73
9.1k
Gamification - CAS2011
davidbonilla
80
5.1k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
507
140k
Designing for Performance
lara
604
68k
Side Projects
sachag
452
42k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
127
18k

Transcript

  1. AWS Shieldだけで大丈夫? ~DDoS攻撃対策~ 2023年6月29日 株式会社セゾン情報システムズ 山口大輝

  2. 自己紹介 名前:山口 大輝(やまぐち だいき) 所属:株式会社セゾン情報システムズ 前職:空港でHWの運用保守展開サービスのエンジニア 現職:AWSエンジニア歴2年 AWSインフラの提案から運用まで一括して担当 Qiita:@Daiki_Yamaguchi Twitter:@d92_cl

    #aws_lt_saison_btc 2

  3. アジェンダ ・DDoS攻撃とは • AWS Shield • AWS Web Application Firewall

    (WAF) • やってみた • 原因 • 対策 • 今日伝えたかった事 #aws_lt_saison_btc 3

  4. DDoS攻撃とは 複数のコンピュータから、ウェブサイトなどのサーバに対して大量のアクセスや データを送り付け、サーバに負荷をかける攻撃 #aws_lt_saison_btc 4

  5. DDoS攻撃とは 主にOSI参照モデルでいう、第3層、4層、7層に対し仕掛けられる • アプリケーション層 7層 • プレゼンテーション層 6層 • セッション層

    5層 • トランスポート層 4層 • ネットワーク層 3層 • データリンク層 2層 • 物理層 1層 HTTP(S)フラッド攻撃 SYNフラッド攻撃 Pingフラッド攻撃 ・大量のHTTP(S)リクエストを送信し、 サーバを処理落ちさせる ・ACKを送信せず、SYNのみを送り続け、 新しい接続を受け付けない状態にする ・大量にエコー要求パケットを送り付け、 ネットワークをダウンさせる #aws_lt_saison_btc 5

  6. 対応できるAWSサービスは…? #aws_lt_saison_btc 6

  7. AWS Shield ・ ・ ・ #aws_lt_saison_btc 7

  8. AWS Shield AWSサービスに対する、DDoS攻撃を防ぐサービス 無償のStandardと月額課金のAdvancedがある 項目 Standard Advanced 料金 無償 月額$3,000

    対象レイヤ (OSI参照モデル) 3、4層 3、4、7層 対象サービス すべて EC2、ELB、CloudFront、 Global Accelerator 専門サポート(SRT) なし 24h/365dサポート (設定したサービスのみ) 攻撃で使用されたリソース 利用料の補填 なし 攻撃で料金が上がった場合、 申請できる …etc #aws_lt_saison_btc 8

  9. Advanced 契約するしかないの…? (月額$3,000…) #aws_lt_saison_btc 9

  10. AWS Web Application Firewall (WAF) OSI参照モデル 7層に対して動作するファイアウォール AWSリソースに関連付けて、リクエストの監視ができる WAF 利用者

    利用者 攻撃者 不正リクエスト 通常リクエスト 通常リクエスト #aws_lt_saison_btc 10

  11. やってみた Shield Standardで3,4層の防御 WAFで7層の防御 Container Container Container Container AWS Fargate

    Amazon Aurora AWS Shield Application Load Balancer AWS WAF Internet #aws_lt_saison_btc 11

  12. HTTP(S)フラッド攻撃を受けてしまった… #aws_lt_saison_btc 12

  13. 原因 ブロック対象としてWAFのルールに追加していたIP以外からの大量リクエスト →対象以外のIPからの攻撃はAWSの用意したマネージドルールで防げると 思っていた… ※マネージドルールの詳細は公開されていない #aws_lt_saison_btc 13

  14. 対応したこと • IPブロック • 別のIPを使用して攻撃 • リクエストの特定文字列削除 • 特定文字列を削除して攻撃 •

    攻撃元IPへのWAFでカスタムレスポンス(503) • 別のIPを使用して攻撃 #aws_lt_saison_btc 14

  15. 対策 • WAFのレートベースルールを作成し、抽出されたIPを数分おきに 確認し、IPBlockリストへ自動的に追加する。 レートベースRule Amazon EventBridge AWS Lambda AWS

    WAF ブロックRule (一時的) 恒久 数分おきに実行 #aws_lt_saison_btc 15 IPの取得 IPの登録

  16. 今日伝えたかった事 • AWS Shield Standardだけじゃ7層の攻撃に耐えられない • Advancedに加入するか、WAFを使用して攻撃を防ごう • AWSの用意するWAFのマネージドルールを適用すれば万事OKというわ けではない

    • いたちごっこなので、毎回対応するのは不毛。できることは自動化しよう! #aws_lt_saison_btc 16

  17. 参考文献 • https://www.cloudflare.com/ja-jp/learning/ddos/layer-3- ddos-attacks/ • アプリケーション層へのDDoS攻撃(CloudFlare) • https://www.shadan-kun.com/blog/measure/1426/ • DDoS攻撃の主な攻撃手法8つの特徴をまとめてみた(Cyber

    Security TIMES) #aws_lt_saison_btc 17