無防備な個人サービスに DDoS攻撃がきたら起こること 照屋 雄斗 ヒューマンリソース本部（研修） 株式会社ディー・エヌ・エー 〜誰でも簡単にできるDDoS対策〜 

目次 DDoS攻撃ってなんだっけ DDoS攻撃の対策について 無防備なサービスにDDoS攻撃がきたら起こること 1 2 3 まとめ 4 2 

DDoS攻撃とは Distributed Denial of Service 分散型サービス妨害 分散された複数の攻撃元が強調して、大量のパケットやリクエストを 標的サーバーに送り、サービスを停止させる行為 3 

DDoS攻撃の有名な事例 4 ● 2018年2月　GitHub：memcachedを悪用した1.3TbpsのDDoS攻撃 史上最大のDDoS攻撃 ● 2016年10月　DNSプロバイダーに向けた攻撃 多くの中・大規模サービスが同時にアクセス負荷に ● 2016年11月　ロシアの銀行に向けた攻撃 5つの有名なロシアの銀行が標的にされ、最長で 12時間の攻撃が続いた ● 2007年4月　エストニアへの攻撃 政府機関や金融機関、メディアを標的とした大規模な DDoS攻撃 DDoS攻撃は毎日どこかで起きている 

DDoS攻撃の種類 # レイヤー アプリケーション 説明 DDoS攻撃の例 7 アプリケーション データ アプリケーションの ネットワークプロセス HTTPフラッド DNSクエリフラッド 6 プレゼンテーション データ データ表現と暗号化 SSL不正 5 セッション データ ホスト間通信 該当なし 4 転送 セグメント E2Eの接続と信頼性 SYNフラッド 3 ネットワーク パケット パス決定と論理アドレス 指定 UDPリフレクション攻撃 2 データリンク フレーム 物理アドレス指定 該当なし 1 物理 ビット メディア、信号、バイナリ 転送 該当なし OSI参照モデル 5 

DDoS攻撃の種類 # レイヤー アプリケーション 説明 DDoS攻撃の例 7 アプリケーション データ アプリケーションの ネットワークプロセス HTTPフラッド DNSクエリフラッド 6 プレゼンテーション データ データ表現と暗号化 SSL不正 4 転送 セグメント E2Eの接続と信頼性 SYNフラッド 3 ネットワーク パケット パス決定と論理アドレス 指定 UDPリフレクション攻撃 OSI参照モデル 6 ボリューム攻撃 状態枯渇攻撃 アプリケーション攻撃 

7 ボリューム攻撃例：DNSリフレクション攻撃 攻撃者 ボットネット DNS サーバー 標的 サーバー 標的サーバーのIPに偽装 下記2点のDNSの特徴を悪用した攻撃 ・通信プロトコルにUDPを使っている 　→ UDPはTCPに比べてIPの偽装が簡単 ・要求サイズに対して応答サイズが25倍 - 50倍　　程 度と非常に大きい（増幅率が高い） 攻撃者は標的サーバーのIPを偽装したボットネッ トを使用して、DNSサーバーに大量のリクエストを 一斉に送信することによって、数十倍に増幅させ たパケットを標的サーバーに送り、ネットワークを 専有する 

8 状態枯渇攻撃例：SYNフラッド攻撃 攻撃者 ボットネット 標的 サーバー 偽装先IP 端末 自身のものではないIPに偽装 TCP Synを大量送信 Syn / Ackを返答 TCPのセッション確立の仕組みを悪用した攻撃 ◇ Three-Way Handshake クライアントから送られた最初のSynパケットに対し、そ れを受けたサーバーはSyn/Ackを返答する。これに対 し、クライアントは更にAckをサーバーに返答することに よってセッションが確立する。 攻撃者はIPを偽装したボットネットを使用して、標的 サーバーにSynパケットを大量送信する。標的サー バーは、偽装IP向けにSyn/Ackを返答するが、当然 の如くそのIP先のクライアントはAckを返さないため、 返答待ちの状態が続いてしまう。 

9 アプリケーション攻撃例：DNSクエリフラッド攻撃 攻撃者 ボットネット DNS サーバー 標的 サーバー 存在しないドメインをQueryにセット Queryを大量送信 アクセス不可 DNSサーバーに負荷を掛けることによって サービスをアクセス不能にする攻撃 DNSサーバーは通常UDPの53番ポートでリクエスト を受け付けているため、TCPに比べて攻撃が容易で ある。（一方的にパケットを投げつけるだけ） この際、ただパケットを投げつけるのではなく、存在し ないドメインをセットした正規のDNSパケットを大量に 送ることによって、IPアドレス解決の処理を実行させ 負荷を掛ける 

10 DDoS攻撃の基本的な対策 ボリューム攻撃 状態枯渇攻撃 アプリケーション攻撃 WAFやCaptureなど DDoS対策機能付き プロキシを上段に挟む（CDN） CloudFlare , AWS Cloud Front (AWS Shield) etc... CloudFlare WAF, AWS WAF, reCapture v3 etc... どちらも簡単に導入ができる 

11 DDoS低減プロバイダー 出典 https://aws.amazon.com/jp/waf/what-is-waf/　 サービス例：CloudFlare AWS CloudFront etc... ベンダーは自社が世界中に持つエッジサーバーと広域な回線帯 域を利用することによって、過剰な負荷はオリジンサーバーに到達 する前にそのほとんどを吸収される Origin Server DNS CDN CloudFlareは30TBの帯域を所有している。過去最大のDDoSは GitHubに向けたもので1.3tbpsの攻撃だったのでその30倍ほど を耐えうる帯域の太さがある。 基本的には、ボリューム攻撃と状態枯渇攻撃の両方をカットしてく れる 

12 WAF（Web Application Firewall） アプリケーションレベルで通信の中身を解析し 特定の条件にマッチする通信を検知・遮断する WAF の代表的な用途 ・SQL インジェクション ・クロスサイトスクリプティング 
 アプリケーションの脆弱性を悪用した攻撃の遮断やアプリケーション層のDDoS 対策、 不正なボットによるアクセスの遮断など App Server Clients OK NG Query Filter 

13 無防備な個人サービスに DDoS攻撃が来たら起こること 

当時のサーバー基本構成 Load Balancer App Server App Server App Server DB Server 格安VPSサービス ・ロードバランサ 　1台 ・APPサーバー　　 3台 ・DBサーバー 　　1台 DDoS対策は全くしていなかった そこにDNSリフレクション攻撃・・・ サービスアクセス不能状態が1日ほど続いた 

15 時系列 15:02 サービスに繋がらないとユーザーから報告 15:13 VPS提供会社からDDoS攻撃を理由とした外部からの通信遮断措置実施の報告 15:34 CloudFlareを上段に導入後、スケールアップしたサーバー 1台に 　　 DNS(Proxy機能を含む)を直接向ける措置を実施し、サービスを再開 15:41 VPS提供会社から*1のサーバーの通信遮断措置実施の報告（同じ理由） 16:00 CloudFlare等設定を確認後、再度別のサーバー 1台にDNSを直接向ける措置を実施 16:12 VPS提供会社から*2のサーバーの通信遮断措置実施の報告（同じ理由） 　　 次同じことが起きたらアカウント停止措置を実施することを警告 16:35 お詫び文を掲載するため、別会社のレンタルサーバーに DNSを向ける 17:00 別会社からDDoSによるレンタルサーバーの障害発生の報告を受ける ・・・ 後ほど再度DDoS対策をした上でサービス運用再開 サービスが話題になり新規ユーザーが急増していたタイミングだったということもあり、機会損失を避けたいという理 由でサービスの再提供を急ぎすぎてしまった 

16 何が駄目だったのか 上段にCloudFlareのProxyを挟み、DDoS対策をしたのに落ちてしまった 原因：自サービスはユーザーが自由にサービスのサブドメインを使えるような仕様 だったが、CloudFlareはワイルドカードにDDoS Protectionが成されておらず、 ルートドメインにのみ効いていた → サブドメインのIPをみて、そこに攻撃を仕掛けられた ・CloudFlareにもワイルドカードなDDoS Protectionがあるが、月額50万以上す るので使えなかった ワイルドカードの設定も従量課金で使えるAWS CloudFrontを利用して解決 

17 こんな感じ DNS CDN Origin Server DNS Origin Server *.example.com ↑ 気が付かなかった example.com www. example.com 

18 まとめ ● DDoS攻撃には基本的に3種類のパターンがある ボリューム攻撃型 状態枯渇攻撃型 アプリケーション攻撃型 ● それぞれに対する攻撃対策 ボリューム攻撃型・状態枯渇攻撃型：CDN DDoS Protection アプリケーション攻撃型：WAFやCaptureなど とにかくオリジンのIPが外部に公開されていないかを何度もチェックする