(レポート) SEC306: DDoS攻撃に対する防御 #reinvent

(レポート) SEC306: DDoS攻撃に対する防御 #reinvent

Clock Icon2015.10.10

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、コカコーラ好きなカジです。

SEC306 Defending Against DDoS Attacksのセッションをレポートします。

スライド

概要

  • 一般的な攻撃:最も一般的な分散型DDoS攻撃。
  • 軽減策:AWSインフラストラクチャを保護するために使用されます。
  • アーキテクチャ:緩和機能を利用してください。

前提知識

  • DDoS攻撃とIPプロトコルの基本的な理解。
  • AWS上アーキテクトアプリケーション
  • Wiresharkでキャプチャしパケット読み取ること

一般的な攻撃

DDoS 攻撃のヘッドライン

  • 犯人は、DDoS攻撃を通して企業を強要します
  • DDoS攻撃は、はるかに強力になっています。
  • 最近は、200Gbps〜400Gbps DDoS攻撃

2015年Q2のDDoS攻撃

  • 平均DDoSのサイズ:1.04Gbps
  • 平均期間:39分
  • DDoS攻撃は、ターゲットネットワークとサービスのインフラを攻撃:85%

DDoS攻撃の種類

  • 容量のDDoS攻撃
  • ステート消耗 DDoS攻撃
  • アプリケーションレイヤーDDoS攻撃

DDoS攻撃のトレンド

  • 容量のDDoS攻撃:65%
  • ステート消耗 DDoS攻撃:20%
  • アプリケーションレイヤーDDoS攻撃:15%

攻撃の紹介

  • 容量のDDoS攻撃 UDP amplification
  • 複数の攻撃手法を使った攻撃

軽減策

  • データーセンター(オンプレミス)=外部にDDoS軽減サービスを利用した。
  • 設計による強化

AWSインフラストラクチャのDDoS攻撃の緩和

特徴

  • 常にインライン
  • コモディティ・ハードウェア
  • ターゲットとヒューリスティック緩和策

利益

  • 低いMTTR(平均修復時間)
  • マイクロ秒のレイテンシ

基礎衛生とパケット優先順位

基礎衛生

  • IP -> Checksum
  • TCP -> valid flags
  • UDP -> ペイロード長
  • DNS -> リクエスト検証

パケット優先順位

優先順位づけでのパケットシェーピング ポリシーベースパケットシェーピング

緩和:検出とトラフィックエンジニアリング

共有スペースで識別を目標とする

  • 各々のIPセットは、独特の組合せを持ちます
  • 目標識別を許します
  • 緩和のために新しいオプションを有効化します

アーキテクチャー

容量 DDoS攻撃対応アーキテクチャー

  • Cloudfront
  • ELB Scaling
  • Route53 health checks on ELB instances

表面攻撃を最小化

VPC内のセキュリティ - Security Group - Network ACL

スケールして吸収する準備をする

  • Route53
  • Coudfront
  • ELB

ステート消耗 DDoS攻撃対応アーキテクチャー

  • SYN proxy and SYN cookies
  • カスタムしたプロキシの利用

アプリケーションレイヤーDDoS攻撃対応アーキテクチャー

  • Route53
  • 露出されたリソースを保護

露出されたリソースを保護

  • アプリケーションの保護
  • Cloudfront 地域制限
  • Cloudfront connection reaping (内容がわかりませんでした)
  • AWSマーケットプレースからWAFを導入する
  • AWS WAFを利用する

攻撃があった場合は?

設計、軽減を手伝います。

リソース

  • ホワイトペーパー:AWS Best Practices for DDoS Resiliency
  • AWS Security Blog

AWS Support

  • Businessの場合、テクニカルアシスタントが電話、チャット、メールで対応
  • Enterpriseの場合、テクニカルアドバイザーが支援

AWSサポートへの連絡するときの情報

  • インスタンス (IPsが役立ちます)、ディストリビューション、攻撃下のゾーン
  • ロケーション
  • 時間
  • 方向
  • 送信元
  • Intel (わかりませんでした)

AWS Security Center

https://aws.amazon.com/security

感想

DDoSの傾向が変わったものの、昨年の内容とほぼ一緒だと思います。追加されたAWS WAF部分ぐらいなので、Route53、Cloudfrontは必ず入れるべきですね。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.