Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS Shieldだけで大丈夫? ~DDoS攻撃対策~

Daiki_Yamaguchi
June 29, 2023
0
41

AWS Shieldだけで大丈夫? ~DDoS攻撃対策~

Daiki_Yamaguchi

June 29, 2023
Tweet

More Decks by Daiki_Yamaguchi

See All by Daiki_Yamaguchi
チョットワカル!SIEM on Amazon OpenSearch Service
daikiyamaguchi
1
630
LambdaSnapStart使ってみた
daikiyamaguchi
0
97

Featured

See All Featured
Robots, Beer and Maslow
schacon
PRO
157
8.1k
Fireside Chat
paigeccino
25
2.8k
The Art of Programming - Codeland 2020
erikaheidi
48
13k
A designer walks into a library…
pauljervisheath
201
24k
Writing Fast Ruby
sferik
623
60k
Stop Working from a Prison Cell
hatefulcrawdad
266
20k
Java REST API Framework Comparison - PWX 2021
mraible
PRO
20
7.2k
The Pragmatic Product Professional
lauravandoore
29
6.1k
Git: the NoSQL Database
bkeepers
PRO
423
64k
No one is an island. Learnings from fostering a developers community.
thoeni
17
2.8k
BBQ
matthewcrist
82
9k
Large-scale JavaScript Application Architecture
addyosmani
506
110k

Transcript

  1. AWS Shieldだけで大丈夫? ~DDoS攻撃対策~ 2023年6月29日 株式会社セゾン情報システムズ 山口大輝

  2. 自己紹介 名前:山口 大輝(やまぐち だいき) 所属:株式会社セゾン情報システムズ 前職:空港でHWの運用保守展開サービスのエンジニア 現職:AWSエンジニア歴2年 AWSインフラの提案から運用まで一括して担当 Qiita:@Daiki_Yamaguchi Twitter:@d92_cl

    #aws_lt_saison_btc 2

  3. アジェンダ ・DDoS攻撃とは • AWS Shield • AWS Web Application Firewall

    (WAF) • やってみた • 原因 • 対策 • 今日伝えたかった事 #aws_lt_saison_btc 3

  4. DDoS攻撃とは 複数のコンピュータから、ウェブサイトなどのサーバに対して大量のアクセスや データを送り付け、サーバに負荷をかける攻撃 #aws_lt_saison_btc 4

  5. DDoS攻撃とは 主にOSI参照モデルでいう、第3層、4層、7層に対し仕掛けられる • アプリケーション層 7層 • プレゼンテーション層 6層 • セッション層

    5層 • トランスポート層 4層 • ネットワーク層 3層 • データリンク層 2層 • 物理層 1層 HTTP(S)フラッド攻撃 SYNフラッド攻撃 Pingフラッド攻撃 ・大量のHTTP(S)リクエストを送信し、 サーバを処理落ちさせる ・ACKを送信せず、SYNのみを送り続け、 新しい接続を受け付けない状態にする ・大量にエコー要求パケットを送り付け、 ネットワークをダウンさせる #aws_lt_saison_btc 5

  6. 対応できるAWSサービスは…? #aws_lt_saison_btc 6

  7. AWS Shield ・ ・ ・ #aws_lt_saison_btc 7

  8. AWS Shield AWSサービスに対する、DDoS攻撃を防ぐサービス 無償のStandardと月額課金のAdvancedがある 項目 Standard Advanced 料金 無償 月額$3,000

    対象レイヤ (OSI参照モデル) 3、4層 3、4、7層 対象サービス すべて EC2、ELB、CloudFront、 Global Accelerator 専門サポート(SRT) なし 24h/365dサポート (設定したサービスのみ) 攻撃で使用されたリソース 利用料の補填 なし 攻撃で料金が上がった場合、 申請できる …etc #aws_lt_saison_btc 8

  9. Advanced 契約するしかないの…? (月額$3,000…) #aws_lt_saison_btc 9

  10. AWS Web Application Firewall (WAF) OSI参照モデル 7層に対して動作するファイアウォール AWSリソースに関連付けて、リクエストの監視ができる WAF 利用者

    利用者 攻撃者 不正リクエスト 通常リクエスト 通常リクエスト #aws_lt_saison_btc 10

  11. やってみた Shield Standardで3,4層の防御 WAFで7層の防御 Container Container Container Container AWS Fargate

    Amazon Aurora AWS Shield Application Load Balancer AWS WAF Internet #aws_lt_saison_btc 11

  12. HTTP(S)フラッド攻撃を受けてしまった… #aws_lt_saison_btc 12

  13. 原因 ブロック対象としてWAFのルールに追加していたIP以外からの大量リクエスト →対象以外のIPからの攻撃はAWSの用意したマネージドルールで防げると 思っていた… ※マネージドルールの詳細は公開されていない #aws_lt_saison_btc 13

  14. 対応したこと • IPブロック • 別のIPを使用して攻撃 • リクエストの特定文字列削除 • 特定文字列を削除して攻撃 •

    攻撃元IPへのWAFでカスタムレスポンス(503) • 別のIPを使用して攻撃 #aws_lt_saison_btc 14

  15. 対策 • WAFのレートベースルールを作成し、抽出されたIPを数分おきに 確認し、IPBlockリストへ自動的に追加する。 レートベースRule Amazon EventBridge AWS Lambda AWS

    WAF ブロックRule (一時的) 恒久 数分おきに実行 #aws_lt_saison_btc 15 IPの取得 IPの登録

  16. 今日伝えたかった事 • AWS Shield Standardだけじゃ7層の攻撃に耐えられない • Advancedに加入するか、WAFを使用して攻撃を防ごう • AWSの用意するWAFのマネージドルールを適用すれば万事OKというわ けではない

    • いたちごっこなので、毎回対応するのは不毛。できることは自動化しよう! #aws_lt_saison_btc 16

  17. 参考文献 • https://www.cloudflare.com/ja-jp/learning/ddos/layer-3- ddos-attacks/ • アプリケーション層へのDDoS攻撃(CloudFlare) • https://www.shadan-kun.com/blog/measure/1426/ • DDoS攻撃の主な攻撃手法8つの特徴をまとめてみた(Cyber

    Security TIMES) #aws_lt_saison_btc 17