(レポート) SEC306: DDoS攻撃に対する防御 #reinvent

こんにちは、コカコーラ好きなカジです。

SEC306 Defending Against DDoS Attacksのセッションをレポートします。

スライド

概要

• 一般的な攻撃：最も一般的な分散型DDoS攻撃。
• 軽減策：AWSインフラストラクチャを保護するために使用されます。
• アーキテクチャ：緩和機能を利用してください。

前提知識

• DDoS攻撃とIPプロトコルの基本的な理解。
• AWS上アーキテクトアプリケーション
• Wiresharkでキャプチャしパケット読み取ること

一般的な攻撃

DDoS 攻撃のヘッドライン

• 犯人は、DDoS攻撃を通して企業を強要します
• DDoS攻撃は、はるかに強力になっています。
• 最近は、200Gbps〜400Gbps DDoS攻撃

2015年Q2のDDoS攻撃

• 平均DDoSのサイズ：1.04Gbps
• 平均期間：39分
• DDoS攻撃は、ターゲットネットワークとサービスのインフラを攻撃：85%

DDoS攻撃の種類

• 容量のDDoS攻撃
• ステート消耗 DDoS攻撃
• アプリケーションレイヤーDDoS攻撃

DDoS攻撃のトレンド

• 容量のDDoS攻撃:65%
• ステート消耗 DDoS攻撃:20%
• アプリケーションレイヤーDDoS攻撃:15%

攻撃の紹介

• 容量のDDoS攻撃 UDP amplification
• 複数の攻撃手法を使った攻撃

軽減策

• データーセンター（オンプレミス）＝外部にDDoS軽減サービスを利用した。
• 設計による強化

AWSインフラストラクチャのDDoS攻撃の緩和

特徴

• 常にインライン
• コモディティ・ハードウェア
• ターゲットとヒューリスティック緩和策

利益

• 低いMTTR（平均修復時間）
• マイクロ秒のレイテンシ

基礎衛生とパケット優先順位

基礎衛生

• IP -> Checksum
• TCP -> valid flags
• UDP -> ペイロード長
• DNS -> リクエスト検証

パケット優先順位

優先順位づけでのパケットシェーピング ポリシーベースパケットシェーピング

緩和：検出とトラフィックエンジニアリング

共有スペースで識別を目標とする

• 各々のIPセットは、独特の組合せを持ちます
• 目標識別を許します
• 緩和のために新しいオプションを有効化します

アーキテクチャー

容量 DDoS攻撃対応アーキテクチャー

• Cloudfront
• ELB Scaling
• Route53 health checks on ELB instances

表面攻撃を最小化

VPC内のセキュリティ - Security Group - Network ACL

スケールして吸収する準備をする

• Route53
• Coudfront
• ELB

ステート消耗 DDoS攻撃対応アーキテクチャー

• SYN proxy and SYN cookies
• カスタムしたプロキシの利用

アプリケーションレイヤーDDoS攻撃対応アーキテクチャー

• Route53
• 露出されたリソースを保護

露出されたリソースを保護

• アプリケーションの保護
• Cloudfront 地域制限
• Cloudfront connection reaping (内容がわかりませんでした)
• AWSマーケットプレースからWAFを導入する
• AWS WAFを利用する

攻撃があった場合は？

設計、軽減を手伝います。

リソース

• ホワイトペーパー：AWS Best Practices for DDoS Resiliency
• AWS Security Blog

AWS Support

• Businessの場合、テクニカルアシスタントが電話、チャット、メールで対応
• Enterpriseの場合、テクニカルアドバイザーが支援

AWSサポートへの連絡するときの情報

• インスタンス (IPsが役立ちます）、ディストリビューション、攻撃下のゾーン
• ロケーション
• 時間
• 方向
• 送信元
• Intel （わかりませんでした）

AWS Security Center

https://aws.amazon.com/security

感想

DDoSの傾向が変わったものの、昨年の内容とほぼ一緒だと思います。追加されたAWS WAF部分ぐらいなので、Route53、Cloudfrontは必ず入れるべきですね。