AWS Shield Advanced の自動緩和機能で DDoS 攻撃に対する発動条件を教えてください
困っていること
AWS WAF を利用したシステムへの DDoS 攻撃の際、AWS Shield Advanced の DDoS 自動緩和機能が発動するように設定しています。
どのような条件で緩和機能が発動し、どのような条件で緩和機能が元に戻るのか教えてください。
どう対応すればいいの?
前提として、AWS Shield Advanced のアプケーションレイヤーの DDoS 攻撃緩和には 2 種類の機能があります。
- AWS WAF のレートベースのルール
- DDoS 自動緩和の機能
AWS WAF のレートベースのルール
発動条件とブロックが継続する基準については、以下ドキュメント記載の通りです。
レートベースのルールの仕組み レートベースのルールを使用する場合、30 秒ごとに、AWS WAF は直近 5 分間のトラフィックを評価します。AWS WAF は、リクエストレートが許容レベルに低下するまで、しきい値を超えるソース IP アドレスからのリクエストをブロックします。レートベースルールを設定するときは、そのレートのしきい値を、任意の 5 分間の時間枠で任意の 1 つのソース IP から想定される通常のトラフィックレートよりも大きい値に設定します。
DDoS 自動緩和の機能
Shield Advanced は、保護対象のシステムへの過去のトラフィックパターンと比較し、攻撃シグネチャと認識した場合には、自動的に緩和ルールを作成し AWS WAF の WebACL に設定します。 攻撃が沈静化したと Shield Advanced が判断すると、自動的に上記のルールは削除されます。
Shield Advanced が、自動緩和が有効になっている保護されたリソースに対する攻撃を検出すると、次の処理が実行されます。
- アプリケーションへの通常のトラフィックから攻撃トラフィックを分離する攻撃シグネチャの特定を試みます。目標は、攻撃トラフィックにのみ影響し、アプリケーションへの通常のトラフィックに影響を与えない、質の高い DDoS 緩和ルールを作成することです。
識別された攻撃シグネチャを、攻撃対象のリソースおよび同じウェブ ACL に関連付けられている他のリソースについての過去のトラフィックパターンに照らして評価します。Shield Advanced は、イベントに対応してルールをデプロイする前にこれを実行します。
Shield Advanced は、評価結果に応じて、次のいずれかを実行します。
● Shield Advanced は、攻撃シグネチャが DDoS 攻撃に関与するトラフィックのみを隔離すると判断した場合、ウェブ ACL の Shield Advanced 緩和ルールグループの WAF AWS WAF ルールにシグネチャを実装します。 ● Shield Advanced は、これらのルールに、リソースの自動緩和のために設定したアクション設定 (COUNT または BLOCK) を提供します。
攻撃が沈静化した場合に Shield Advanced が緩和を管理する方法
Shield Advanced は、特定の攻撃に対してデプロイされた緩和ルールが不要になったと判断すると、そのルールを Shield Advanced 緩和ルールグループから削除します。緩和ルールの削除は、必ずしも攻撃の終了と一致しません。Shield Advanced は、保護されたリソースで検出された攻撃のパターンをモニタリングします。攻撃の最初の発生に対してデプロイしたルールを所定の位置に保持することで、特定のシグネチャを使用した攻撃の再発を先回りして防御できる場合があります。必要に応じて、Shield Advanced はルールを保持する時間枠を拡大します。このようにして、Shield Advanced は、保護されたリソースに影響が及ぶ前に、特定のシグネチャで繰り返される攻撃を緩和する場合があります。
補足
具体的な検出ロジックや時間などについてはセキュリティ上の観点より、これ以上の公開されている情報は確認できませんでした。