AWS Shield Standard で緩和が期待できる DDoS 攻撃を教えてください
2024.07.09困っていた内容
AWS 環境の DDoS 対策について調査しています。
AWS では自動的に AWS Shield Standard による緩和が適用される認識ですが、どのような攻撃が対象か教えてください
どのような攻撃への対応が期待できるの?
ネットワーク層(L3)およびトランスポート層(L4)への攻撃緩和が期待できます。
AWS のお客様すべてを対象とする AWS Shield Standard により、SYN/UDP フラッド攻撃やリフレクション攻撃といった最も頻繁に発生する一般的なインフラストラクチャ (レイヤー 3 およびレイヤー 4) 攻撃を防御し、AWS でのアプリケーションの高可用性を保護できます。
AWS Shield Standard は追加料金や事前構成が不要で利用できるマネージドサービスです。
緩和が期待できる DDos 攻撃としては、OSI 参照モデルにおけるネットワーク層(L3)およびトランスポート層(L4)といったインフラストラクチャレイヤーの攻撃となります。
AWS Shield Standard だけでは、すべての DDoS 攻撃へ対応できないため、AWS WAF や CloudFront といった他の AWS サービスも適宜活用してください。
例えば、CloudFront を利用するとアプリケーション層(L7)への Slow HTTP 攻撃を緩和することが可能です。
Amazon CloudFront を活用したウェブサイトの可用性向上 | Amazon Web Services ブログ
アプリケーション層に対するDoS 攻撃手法では、TCP セッションを長時間占有することで、ウェブサーバーのリソース枯渇させることを目的とした意図的にゆっくりと読み書きするタイプのSlow 攻撃 (例: Slowloris )がありますが、CloudFront はこのような攻撃に対し、自動的に接続を閉じるよう動作します。
![[アップデート] AWS Fault Injection Service で実験レポートを作成するオプションが追加されました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-c9900fd6c1edbd5976cb7da00877d262/2a0bdf16a60f0406f26746ba46d6343e/amazon-managed-grafana)
![[終了予告] AWS Elemental MediaStoreが2025年11月にサービス終了することがアナウンスされました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-0d7cc824916ee284e543662a91362e76/06a8531f8e1e156b91057ded791824da/aws-elemental-mediastore)
