はじめに
AWSのDDoS攻撃についていくつかの対策方法があるためブログにしました。
目次
- [テーマ]
- [DDoS攻撃とは]
- [対策について]
- [まとめ]
テーマ
今回のテーマは、DDoS攻撃です。海外での被害が多く、日本でも政府のウェブサイトにDDoS攻撃が行われるなど身近に起こりうる攻撃のため、AWS上でどのような対策があるのかをまとめました。
DDoS攻撃とは
DDoS攻撃とは複数のPCなどで大量のパケットを送る攻撃です。様々な攻撃手法があるのですが、ここではにSYNフラッド攻撃ついて触れていきます。
SYNフラッド攻撃
SYNフラッド攻撃とはどのような攻撃か?を理解するにはまずスリーウェイハンドシェイクについて説明します。
スリーウェイハンドシェイクとは、下図のようにサーバーに接続するために必要な方法です。流れとしては3つあります。サーバーに接続していいか?(クライアント)→接続了承+こちらからも接続していいか?(サーバー)→接続了承
このような形でTCPプロトコルの場合接続が確立されます。
フラッド攻撃は主にリクエストを送信しサーバーからの応答を待たず、再度リクエストを送信します。サーバーはリクエストの返信をする必要があります。攻撃者はリクエストを送信するだけサーバー側はリクエストを受信し返信をし、リクエストが返ってくるのを待ちます。ずっと待ち続けているため、結果的にサーバー側のリソースが枯渇します。
対策について
1. Amazon CloudFront
CDNと呼ばれるサービスで、コンテンツを高速に配信するサービスです。AWSではエッジロケーションが複数の国にあり、ユーザーの近くのエッジロケーションから配信することで、どこからでも低遅延での配信を可能としています。このサービスを使用することでどのようにDDoS攻撃対策ができるのでしょうか?
CDNの仕組みとしてコンテンツをエッジロケーションから提供することでオリジンサーバーへの負荷が軽減される。これは頻繁にアクセスされるものはキャッシュされ、エッジロケーションから提供されるため、オリジンサーバーのアクセスを低減することができる機能があります。
2. AWS WAF
ウェブ上のファイアーウォールのサービスで、ルールを設定してルールに則り遮断します。ルールには攻撃の文字列や、IPを設定することができます。こちらのサービスでDDoS攻撃対策を行うには
・特定の国からのアクセスを遮断する
・レートリミットを設定する
があります。レートリミットについては5分間に許可されるリクエスト数の閾値を決め、閾値を超えた場合遮断を行うことができます。DDoS攻撃では大量のアクセスをするためレートリミットを使用することでアクセスを遮断できるため有効です。
3. AWS Shield
AWSのDDoS攻撃対策サービスです。StandardとAdvancedの2種類があります。
Standardは無料で搭載されています。ネットワークとトランスポートレイヤーのDDoS攻撃から保護します。
AdvanceはAWSWAFを使用しアプリケーションレイヤーからのDDoS対策も可能としています。更にAWS DDoS対策チームであるAWS Shieldレスポンスチームとの連携が可能で、WAFログにてDDoS攻撃の特徴を分析しルールに追加することも可能です。またAWSWAFの標準機能の料金は発生しません。
https://aws.amazon.com/jp/shield/pricing/
まとめ
AWSのDDoS攻撃対策について様々な方法を紹介しました。AWS ShieldのAdvanceプランがDDoS攻撃対策としては非常に有効な反面、膨大なコストがかかってくるため、費用対効果を見極めてサービス導入を検討してください。Skyarchではセキュリティの課題解決やAWS構築など豊富な知識を持っています。セキュリティでお悩みの方はSkyarchに相談してみてはいかがでしょうか?
投稿者プロフィール
最新の投稿
- セキュリティ2024年6月17日脆弱性診断とは?
- セキュリティ2024年5月27日Burp Suiteで脆弱性診断してみた~診断編~
- セキュリティ2024年5月24日Burp Suiteで脆弱性診断してみた~環境準備編~
- セキュリティ2023年12月22日SQLインジェクション攻撃とは