AWS Shield Standard で緩和が期待できる DDoS 攻撃を教えてください

困っていた内容

AWS 環境の DDoS 対策について調査しています。
AWS では自動的に AWS Shield Standard による緩和が適用される認識ですが、どのような攻撃が対象か教えてください

どのような攻撃への対応が期待できるの？

ネットワーク層（L3）およびトランスポート層（L4）への攻撃緩和が期待できます。

よくある質問 - AWS Shield | AWS

AWS のお客様すべてを対象とする AWS Shield Standard により、SYN/UDP フラッド攻撃やリフレクション攻撃といった最も頻繁に発生する一般的なインフラストラクチャ (レイヤー 3 およびレイヤー 4) 攻撃を防御し、AWS でのアプリケーションの高可用性を保護できます。

AWS Shield Standard は追加料金や事前構成が不要で利用できるマネージドサービスです。

緩和が期待できる DDos 攻撃としては、OSI 参照モデルにおけるネットワーク層（L3）およびトランスポート層（L4）といったインフラストラクチャレイヤーの攻撃となります。

AWS Shield Standard だけでは、すべての DDoS 攻撃へ対応できないため、AWS WAF や CloudFront といった他の AWS サービスも適宜活用してください。

例えば、CloudFront を利用するとアプリケーション層（L7）への Slow HTTP 攻撃を緩和することが可能です。

Amazon CloudFront を活用したウェブサイトの可用性向上 | Amazon Web Services ブログ

アプリケーション層に対するDoS 攻撃手法では、TCP セッションを長時間占有することで、ウェブサーバーのリソース枯渇させることを目的とした意図的にゆっくりと読み書きするタイプのSlow 攻撃 (例: Slowloris )がありますが、CloudFront はこのような攻撃に対し、自動的に接続を閉じるよう動作します。

参考資料

• DDoS とは何かおよびサイトを DDoS 攻撃から保護する方法 | AWS
• 緩和テクニック - DDoS 耐性を獲得するための AWS のベストプラクティス
• OSI モデルとは何ですか? - 7 OSI レイヤーの説明 - AWS
• よくある質問 - AWS Shield | AWS
• [登壇資料] DDoS攻撃をAWSサービスだけで緩和する方法をまとめてみた #cm_odyssey | DevelopersIO