この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
こんにちは、コカコーラ好きなカジです。
SEC306 Defending Against DDoS Attacksのセッションをレポートします。
スライド
概要
- 一般的な攻撃:最も一般的な分散型DDoS攻撃。
- 軽減策:AWSインフラストラクチャを保護するために使用されます。
- アーキテクチャ:緩和機能を利用してください。
前提知識
- DDoS攻撃とIPプロトコルの基本的な理解。
- AWS上アーキテクトアプリケーション
- Wiresharkでキャプチャしパケット読み取ること
一般的な攻撃
DDoS 攻撃のヘッドライン
- 犯人は、DDoS攻撃を通して企業を強要します
- DDoS攻撃は、はるかに強力になっています。
- 最近は、200Gbps〜400Gbps DDoS攻撃
2015年Q2のDDoS攻撃
- 平均DDoSのサイズ:1.04Gbps
- 平均期間:39分
- DDoS攻撃は、ターゲットネットワークとサービスのインフラを攻撃:85%
DDoS攻撃の種類
- 容量のDDoS攻撃
- ステート消耗 DDoS攻撃
- アプリケーションレイヤーDDoS攻撃
DDoS攻撃のトレンド
- 容量のDDoS攻撃:65%
- ステート消耗 DDoS攻撃:20%
- アプリケーションレイヤーDDoS攻撃:15%
攻撃の紹介
- 容量のDDoS攻撃 UDP amplification
- 複数の攻撃手法を使った攻撃
軽減策
- データーセンター(オンプレミス)=外部にDDoS軽減サービスを利用した。
- 設計による強化
AWSインフラストラクチャのDDoS攻撃の緩和
特徴
- 常にインライン
- コモディティ・ハードウェア
- ターゲットとヒューリスティック緩和策
利益
- 低いMTTR(平均修復時間)
- マイクロ秒のレイテンシ
基礎衛生とパケット優先順位
基礎衛生
- IP -> Checksum
- TCP -> valid flags
- UDP -> ペイロード長
- DNS -> リクエスト検証
パケット優先順位
優先順位づけでのパケットシェーピング ポリシーベースパケットシェーピング
緩和:検出とトラフィックエンジニアリング
共有スペースで識別を目標とする
- 各々のIPセットは、独特の組合せを持ちます
- 目標識別を許します
- 緩和のために新しいオプションを有効化します
アーキテクチャー
容量 DDoS攻撃対応アーキテクチャー
- Cloudfront
- ELB Scaling
- Route53 health checks on ELB instances
表面攻撃を最小化
VPC内のセキュリティ - Security Group - Network ACL
スケールして吸収する準備をする
- Route53
- Coudfront
- ELB
ステート消耗 DDoS攻撃対応アーキテクチャー
- SYN proxy and SYN cookies
- カスタムしたプロキシの利用
アプリケーションレイヤーDDoS攻撃対応アーキテクチャー
- Route53
- 露出されたリソースを保護
露出されたリソースを保護
- アプリケーションの保護
- Cloudfront 地域制限
- Cloudfront connection reaping (内容がわかりませんでした)
- AWSマーケットプレースからWAFを導入する
- AWS WAFを利用する
攻撃があった場合は?
設計、軽減を手伝います。
リソース
- ホワイトペーパー:AWS Best Practices for DDoS Resiliency
- AWS Security Blog
AWS Support
- Businessの場合、テクニカルアシスタントが電話、チャット、メールで対応
- Enterpriseの場合、テクニカルアドバイザーが支援
AWSサポートへの連絡するときの情報
- インスタンス (IPsが役立ちます)、ディストリビューション、攻撃下のゾーン
- ロケーション
- 時間
- 方向
- 送信元
- Intel (わかりませんでした)
AWS Security Center
https://aws.amazon.com/security
感想
DDoSの傾向が変わったものの、昨年の内容とほぼ一緒だと思います。追加されたAWS WAF部分ぐらいなので、Route53、Cloudfrontは必ず入れるべきですね。
14
