AWSにおけるDDoS攻撃の対策について

はじめに

AWSのDDoS攻撃についていくつかの対策方法があるためブログにしました。

目次

• [テーマ]
• [DDoS攻撃とは]
• [対策について]
• [まとめ]

テーマ

今回のテーマは、DDoS攻撃です。海外での被害が多く、日本でも政府のウェブサイトにDDoS攻撃が行われるなど身近に起こりうる攻撃のため、AWS上でどのような対策があるのかをまとめました。

DDoS攻撃とは

DDoS攻撃とは複数のPCなどで大量のパケットを送る攻撃です。様々な攻撃手法があるのですが、ここではにSYNフラッド攻撃ついて触れていきます。
SYNフラッド攻撃
SYNフラッド攻撃とはどのような攻撃か？を理解するにはまずスリーウェイハンドシェイクについて説明します。
スリーウェイハンドシェイクとは、下図のようにサーバーに接続するために必要な方法です。流れとしては3つあります。サーバーに接続していいか？（クライアント）→接続了承＋こちらからも接続していいか？（サーバー）→接続了承
このような形でTCPプロトコルの場合接続が確立されます。
フラッド攻撃は主にリクエストを送信しサーバーからの応答を待たず、再度リクエストを送信します。サーバーはリクエストの返信をする必要があります。攻撃者はリクエストを送信するだけサーバー側はリクエストを受信し返信をし、リクエストが返ってくるのを待ちます。ずっと待ち続けているため、結果的にサーバー側のリソースが枯渇します。

対策について

1. Amazon CloudFront

CDNと呼ばれるサービスで、コンテンツを高速に配信するサービスです。AWSではエッジロケーションが複数の国にあり、ユーザーの近くのエッジロケーションから配信することで、どこからでも低遅延での配信を可能としています。このサービスを使用することでどのようにDDoS攻撃対策ができるのでしょうか？
CDNの仕組みとしてコンテンツをエッジロケーションから提供することでオリジンサーバーへの負荷が軽減される。これは頻繁にアクセスされるものはキャッシュされ、エッジロケーションから提供されるため、オリジンサーバーのアクセスを低減することができる機能があります。

2. AWS WAF

ウェブ上のファイアーウォールのサービスで、ルールを設定してルールに則り遮断します。ルールには攻撃の文字列や、IPを設定することができます。こちらのサービスでDDoS攻撃対策を行うには
・特定の国からのアクセスを遮断する
・レートリミットを設定する
があります。レートリミットについては5分間に許可されるリクエスト数の閾値を決め、閾値を超えた場合遮断を行うことができます。DDoS攻撃では大量のアクセスをするためレートリミットを使用することでアクセスを遮断できるため有効です。

3. AWS Shield

AWSのDDoS攻撃対策サービスです。StandardとAdvancedの2種類があります。
Standardは無料で搭載されています。ネットワークとトランスポートレイヤーのDDoS攻撃から保護します。
AdvanceはAWSWAFを使用しアプリケーションレイヤーからのDDoS対策も可能としています。更にAWS DDoS対策チームであるAWS Shieldレスポンスチームとの連携が可能で、WAFログにてDDoS攻撃の特徴を分析しルールに追加することも可能です。またAWSWAFの標準機能の料金は発生しません。
https://aws.amazon.com/jp/shield/pricing/

まとめ

AWSのDDoS攻撃対策について様々な方法を紹介しました。AWS ShieldのAdvanceプランがDDoS攻撃対策としては非常に有効な反面、膨大なコストがかかってくるため、費用対効果を見極めてサービス導入を検討してください。Skyarchではセキュリティの課題解決やAWS構築など豊富な知識を持っています。セキュリティでお悩みの方はSkyarchに相談してみてはいかがでしょうか？