Upgrade to Pro — share decks privately, control downloads, hide ads and more …

DDoSとの終わりなき戦い2025/endless_battle_with_ddos_atta...

Avatar for Takuma Kume Takuma Kume
March 25, 2025
Technology
2
100

 DDoSとの終わりなき戦い2025/endless_battle_with_ddos_attack_2025

3社に聞く、DDoSから学ぶ攻撃事例とその対応
https://rosca.connpass.com/event/345972/
#ROSCAFE
Avatar for Takuma Kume

Takuma Kume

March 25, 2025
Tweet

More Decks by Takuma Kume

See All by Takuma Kume
SRE/インフラエンジニアの市場価値とキャリアパス/Market value and career path for SRE-infrastructure engineers
Avatar for Takuma Kume takumakume
2
630
【新卒研修】共通言語としてのSRE/SRE as a common language
Avatar for Takuma Kume takumakume
0
140
事業部CTOの現在地(パネルディスカッション)/Current-location-of-Division-CTO
Avatar for Takuma Kume takumakume
0
100
ロリポップ! for Gamersを支えるインフラ/lolipop for gamers infrastructure
Avatar for Takuma Kume takumakume
0
790
ロリポップ! for Gamersの立ち上げ/lolipop for gamers launch
Avatar for Takuma Kume takumakume
0
2.3k
ホモグラフドメインを検出してみた/detect homograph domain
Avatar for Takuma Kume takumakume
0
580
ソフトウェアの継続的アップデートをコンテナ化によって加速させる/Accelerate continuous software updates with containerization
Avatar for Takuma Kume takumakume
0
5.1k
KubernetesにおけるSBOMを利用した脆弱性管理/Vulnerability_Management_with_SBOM_in_Kubernetes
Avatar for Takuma Kume takumakume
1
2.4k
ホスティング事業におけるSREの取り組みと面白さ/SRE Efforts in the Hosting Business and the Interest of SRE
Avatar for Takuma Kume takumakume
2
2.8k

Other Decks in Technology

See All in Technology
PHPでWebブラウザのレンダリングエンジンを実装する
Avatar for ディップ株式会社 dip_tech
PRO
0
150
【TiDB GAME DAY 2025】Shadowverse: Worlds Beyond にみる TiDB 活用術
Avatar for Cygames cygames
0
860
Amplifyとゼロからはじめた AIコーディング 成果と展望
Avatar for k.masachika mkdev10
1
360
ObsidianをMCP連携させてみる
Avatar for ttnyt8701 ttnyt8701
2
140
CSS、JSをHTMLテンプレートにまとめるフロントエンド戦略
Avatar for Saito Ayumu d120145
0
220
菸酒生在 LINE Taiwan 的後端雙刀流
Avatar for LINE Developers Taiwan line_developers_tw
PRO
0
1.1k
Windows 11 で AWS Documentation MCP Server 接続実践/practical-aws-documentation-mcp-server-connection-on-windows-11
Avatar for emi emiki
0
700
Navigation3でViewModelにデータを渡す方法
Avatar for mikan mikanichinose
0
210
実践! AIエージェント導入記
Avatar for 森本タカヒロ 1mono2prod
0
140
Model Mondays S2E02: Model Context Protocol
Avatar for Nitya Narasimhan, PhD nitya
0
180
DenoとJSRで実現する最速MCPサーバー開発記 / Building MCP Servers at Lightning Speed with Deno and JSR
Avatar for Okuto Oyama yamanoku
1
280
変化する開発、進化する体系時代に適応するソフトウェアエンジニアの知識と考え方(JaSST'25 Kansai)
Avatar for みずのり mizunori
0
130

Featured

See All Featured
The Psychology of Web Performance [Beyond Tellerrand 2023]
Avatar for Tammy Everts tammyeverts
48
2.8k
Side Projects
Avatar for Sacha Greif sachag
455
42k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
Avatar for Stéphanie Walter stephaniewalter
281
13k
The Success of Rails: Ensuring Growth for the Next 100 Years
Avatar for Eileen M. Uchitelle eileencodes
45
7.4k
Building Adaptive Systems
Avatar for Chris Keathley keathley
43
2.6k
CSS Pre-Processors: Stylus, Less & Sass
Avatar for Bermon Painter bermonpainter
357
30k
Making the Leap to Tech Lead
Avatar for Ryan Cromwell cromwellryan
134
9.3k
No one is an island. Learnings from fostering a developers community.
Avatar for Antonio thoeni
21
3.3k
Raft: Consensus for Rubyists
Avatar for Patrick Van Stee vanstee
140
7k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
Avatar for Sam Stephenson sstephenson
161
15k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
Avatar for Eileen M. Uchitelle eileencodes
137
34k
The Straight Up "How To Draw Better" Workshop
Avatar for Dennis Kardys denniskardys
233
140k

Transcript

  1. DDoSとの終わりなき戦い 2025 久米拓馬 @takumakume / GMO PEPABO inc. 2025.3.26 3社に聞く、DDoSから学ぶ攻撃事例とその対応

    #ROSCAFE

  2. 2 自己紹介 GMOペパボ株式会社 ロリポップ・ムームードメイン事業部 CTO 久米拓馬 @takumakume • 2024年10月から事業部CTO •

    エンジニア人生はインフラ・SRE領域が長く、日々 現場でDDoSと戦っていた • 趣味は睡眠を確保することです
  3. None

  4. ⽬次 • 前提知識:DDoS攻撃パターン • DDoS攻撃防御の⼤原則 • 明⽇からできるDDoS対策 • リスクマネジメント(脅威モデリング‧ASM) •

    環境に依存しない⽇頃の対策 • 「ロリポップ!」の構成と事例

  5. 前提知識:DDoS攻撃パターン DDoS攻撃はDoS攻撃と⽐較して、送信元が分散しており 正当なリクエストと区別することが難しく対処が困難である。 本セッションを聞いていただく上での前提知識として DDoS攻撃を2つに分類して説明します。

  6. 前提知識:DDoS攻撃パターン インフラレイヤ (ボリューム型・プロトコル型) アプリケーションレイヤ 手法 大量のパケットを送信して帯域幅を 枯渇させる。 L3, L4のインターネットプロトコルの 特性を利用してリソースを枯渇させ

    る。 L7のアプリケーションレイヤの 特性を利用してリソースを枯渇 させる。 種類 UDP フラッド SYN フラッド … HTTP フラッド SMTP フラッド …

  7. 7 DDoS攻撃を防ぐには?

  8. 前提知識:DDoS攻撃パターン > DDoS攻撃を防ぐには? CDNを⼊れて、ほぼ無限にスケールできる クラウドインフラストラクチャを使いましょう! 以上、ご清聴ありがとうございました。

  9. 前提知識:DDoS攻撃パターン > DDoS攻撃を防ぐには? CDNを⼊れて、ほぼ無限にスケールできる クラウドインフラストラクチャを使いましょう! 以上、ご清聴ありがとうございました。

  10. 10 DDoS攻撃防御の大原則

  11. DDoS攻撃防御の⼤原則 • できるだけネットワークの上位で通信を処理 • ⼤容量ネットワークの確保 • アプリケーションの処理性能を上げる • アタックサーフェイスの最⼩化

  12. DDoS攻撃防御の⼤原則 • エッジでのコンテンツ配信(オリジンからのオフロード) • ⼤規模なネットワーク • ⾼性能な攻撃防御ソリューション • リソースのオートスケール、それを⽀える⼤規模インフラ なぜ⼤⼿CDN‧クラウドベンダーがDDoSに強いか

  13. DDoS攻撃防御の⼤原則 > なぜ⼤⼿CDN‧クラウドベンダーがDDoSに強いか 上位ネットワークでいい感じ攻撃を検知して遮断する DDoS攻撃 インターネット 大規模なインフラから得られる情報と、専門知識をもったチームによって開発されたソ リューション 攻撃を検知し遮断

  14. DDoS攻撃防御の⼤原則 > なぜ⼤⼿CDN‧クラウドベンダーがDDoSに強いか インフラレイヤにおけるボリューム型攻撃の耐性において ネットワークの帯域が重要 DDoS攻撃 インターネット この帯域以上の DDoS攻撃は物理的 に耐えられない

    フィルタリングをして も上位の回線が埋 まってしまうとサービ ス提供できない

  15. DDoS攻撃防御の⼤原則 > なぜ⼤⼿CDN‧クラウドベンダーがDDoSに強いか アプリケーションがボトルネックになったときに 受け切るスケーラビリティ DDoS攻撃 インターネット 上位ネットワークを通過してくるDDoS攻撃に対応

  16. DDoS攻撃防御の⼤原則 • コストが許容できない • フィルタをバイパスする攻撃が到達 • キャッシュができないコンテンツがある • アプリケーションをスケールできない 現実の問題

  17. 17 明日からできる DDoS対策

  18. 明⽇からできるDDoS対策 • 脅威モデリング • アタックサーフェイスマネジメント(ASM) リスクマネジメント

  19. 明⽇からできるDDoS対策 > リスクマネジメント • システムの潜在的な脆弱性‧リスクを体系的に洗い出し、対策を検討 するプロセス • ⼿順 • DFDでシステムやデータの流れを可視化

    • 脅威分類フレームワークで脅威を分類 脅威モデリング

  20. 明⽇からできるDDoS対策 > リスクマネジメント > 脅威モデリング DFD(Data Flow Diagram) API Fronte

    nd User DB https https mysql https 外部エンティティ プロセス データ ストア データフロー 凡例 信頼境界 外部API システム内外のデータの流れを可視化し、どこに脅威が潜んでいるかを把握しやすくする

  21. 明⽇からできるDDoS対策 > リスクマネジメント > 脅威モデリング • STRIDE • S (Spoofing):

    なりすまし • T (Tampering): データ改ざん • R (Repudiation): 否認 • I (Information Disclosure): 情報漏えい • D (Denial of Service): サービス拒否 • E (Elevation of Privilege): 特権昇格 脅威分類フレームワーク

  22. 明⽇からできるDDoS対策 > リスクマネジメント 脅威モデリング https://speakerdeck.com/mrtc0/cloudnative-days-tokyo-2021-number-cndt2021-number-cndt2021-b

  23. 明⽇からできるDDoS対策 > リスクマネジメント • 攻撃者の視点に⽴ち、外部に公開しているIT資産のアタックサーフェ イスを網羅的に把握しリスク評価をする アタックサーフェイスマネジメント(ASM)

  24. 明⽇からできるDDoS対策 > リスクマネジメント > アタックサーフェイスマネジメント(ASM) • ペパボでは、独⾃のツールを⽤いて管理下にあるIPアドレスに対して オープンポートを監視している。 オープンポートの監視

  25. 明⽇からできるDDoS対策 • パフォーマンスチューニング • 1リクエストで消費するリソースを少なくする • 処理コスト、経済的損失が⼤きいリクエストの成功難易度を上げる • reCAPTCHA •

    Rate limit 環境に依存しない⽇頃の対策 上位ネットワークで吸収・遮断しきれないDDoS攻撃は起きる。 対してアプリケーションを無限にスケールするのは攻撃者の思う壺。

  26. 明⽇からできるDDoS対策 • インシデントレスポンス体制の整備 • ⼿順の準備 • シミュレーションの実施 環境に依存しない⽇頃の対策 (続)

  27. 明⽇からできるDDoS対策 > 環境に依存しない⽇頃の対策 > インシデントレスポンス体制の整備 https://speakerdeck.com/hiboma/yapc-kyoto-2023

  28. 明⽇からできるDDoS対策 > 環境に依存しない⽇頃の対策 > インシデントレスポンス体制の整備

  29. 29 ロリポップ!の構成と事例

  30. None

  31. 〜省略〜

  32. Web site 250万+ Traffic 18Gbps+ Baremetal 1000+ VM 500+ 規模

  33. 物理サーバ 1000台+ ・・・ お客様のWebサイト 250万+ オンプレミス データセンター インターネット 構成 平時のトラフィックパターンを学習し

    DDoSが 発生した場合に軽減している

  34. 物理サーバ 1000台+ ・・・ お客様のWebサイト 250万+ オンプレミス データセンター インターネット コンテンツキャッシュ機能 キャッシュサーバ

    できるだけリクエストを オリジンサーバに到達させなため のキャッシュサーバ 需要が高いWordPressに特化した キャッシュ機能を提供

  35. コンテンツキャッシュ機能 https://speakerdeck.com/takumakume/2-million-more-than-the-domain-the-back-of-the-rental-server-content-cache

  36. 物理サーバ 1000台+ ・・・ お客様のWebサイト 250万+ オンプレミス データセンター インターネット Blackhole routing

    大規模なインフラレイヤのボリューム型攻 撃への対策 特定のIPアドレス向けのトラフィックを すべて破棄しネットワークの 帯域を確保する DDoS攻撃

  37. Blackhole routing https://speakerdeck.com/takumakume/endless-battle-with-ddos-attack

  38. 38 まとめ

  39. まとめ • DDoS攻撃は「インフラレイヤ」、「アプリケーションレイヤ」があり対 策⽅法が異なる • DDoS対策はネットワークやリソースのキャパシティが⼤きいほど有利で ある • リスクマネジメント⼿法として「脅威モデリング」「ASM」を紹介した •

    ロリポップ!での取り組みとして「コンテンツキャッシュ機能」や 「Blackhole Routing」を紹介した

  40. 40 Thank You! Thank You! GMOペパボのエンジニアに興味がある方は @takumakume までご連絡ください! カジュアル面談でもお待ちしております。