こんにちは。カスタマーサクセス部の井出です。

re:Invent 1 日目で参加した GameDay で DDoS と戦ったので、振り返りとして AWS における DDoS 対策・対応についてまとめてみました。

※ AWS GameDay とその詳細は記載しておりません。

blog.serverworks.co.jp

参加した GameDay の概要は下記の通り。

SEC402-R | AWS GameDay: Winning the DDoS game [REPEAT]

In this workshop, compete in a team-based environment to practice protecting a web application in real time. Your team uses AWS WAF and AWS Shield to mitigate distributed HTTP floods, web exploits, and malicious bots that disrupt the experience of your customers. This workshop offers a risk-free environment where teamwork is paramount as you work together under pressure. Watch a real-time scoreboard as your team works through each level. The most effective team will earn a prize at the end! You must bring your laptop to participate.

DDoS 攻撃とは

DDoSの基本概念

DDoS (Distributed Denial of Service) 攻撃とは、多数のデバイスから一斉にターゲットへアクセスを集中させることで、サービスの提供を妨げる攻撃のことを指します。 例えば、大規模なボットネットを使用して特定のウェブサイトに対して大量のリクエストを送り続けることで、サービスの応答速度を低下させたり、完全に停止させたりすることがあります。 攻撃者はマルウェアを使用してデバイスを「踏み台」として利用し、大量のリクエストを送信するため、攻撃元が広範囲に分散します。

攻撃の種類

• ネットワーク帯域攻撃: 帯域幅を圧迫し、ネットワークを使用不可にする。
• プロトコル攻撃: TCP/IP プロトコルの脆弱性を利用し、システムリソースを消耗させる。
• アプリケーション層攻撃: HTTP リクエストのような正当な通信に見える形でアプリケーションを過負荷にする。

影響とリスク

DDoS 攻撃は、その規模や手法の多様性から防御が難しいとされています。 難しい理由としては、

• 攻撃に使用されるボットネットが地理的に広範囲に分散しているため、一部のIPアドレスをブロックするだけでは効果が限定的
• 攻撃者が頻繁に手法を変えることで、既存のセキュリティルールを簡単に回避してしまうこともある
• 攻撃トラフィックと正当なトラフィックが区別しにくい場合が多く、過剰なブロックが正規のユーザーにも影響を与えるリスクを伴う

などが挙げられます。

DDoS 攻撃によってサービス停止や顧客の信頼損失、収益減少などの深刻な影響が生じる可能性があるため、事前の対策と攻撃を受けた際の迅速な対応が重要となります。

AWS における DDos 対策

AWS で DDoS に有効なサービス

AWS Shield

AWS Shield は、AWS 環境のリソースを DDoS 攻撃から守るためのサービスです。

プランは 2 つ

é …ç›®	Shield Standard	Shield Advanced
費用	無料	3,000 USD/月（1年契約）
保護範囲	レイヤー3およびレイヤー4の攻撃（SYNフラッド、UDPフラッド、リフレクション攻撃など）	レイヤー3–7の攻撃（アプリケーション層攻撃を含む）
サポート	なし	24/7のDDoS対応チーム（DDoS Response Team）
通知機能	無し	CloudWatch と連携することでリアルタイム通知が可能
追加機能	なし	攻撃時のデータ転送コスト返金、AWS WAF 連携
モニタリングとレポート	基本的なトラフィックモニタリング	詳細なレポートと攻撃分析（攻撃規模、影響範囲などの詳細情報）

Advanced で保護できるリソース:

• Amazon EC2 instances
• Elastic Load Balancing load balancers
• Amazon CloudFront distributions
• Amazon Route 53 hosted zones
• AWS Global Accelerator standard accelerators

AWS WAF

AWS WAF は、アプリケーション層の攻撃を防ぐための Web アプリケーションファイアウォールです。SQL インジェクションやクロスサイトスクリプティング（XSS）のようなウェブ攻撃から保護します。

保護できるリソース:

• Amazon CloudFront distribution
• Amazon API Gateway REST API
• Application Load Balancer
• AWS AppSync GraphQL API
• Amazon Cognito user pool
• AWS App Runner service
• AWS Verified Access instance

推奨される設定

防御層の多層化（Defense in Depth）

• AWS Shield、AWS WAF、Amazon CloudFront などネットワーク層とアプリケーション層の防御手段を組み合わせる。

コンテンツ配信の活用

• Amazon CloudFront でトラフィックをエッジロケーションに分散。
• AWS WAF ルールを CloudFront に統合して不正トラフィックをブロック。

トラフィックの分散とスケーリング

• Amazon CloudFront と Elastic Load Balancing でトラフィックを分散。
• Auto Scaling でリソースを動的に拡張し、攻撃の影響を軽減。

トラフィックの監視とログ記録

• Amazon CloudWatch で異常を監視。
• VPC Flow Logs ã‚„ AWS WAF のログで攻撃の詳細を分析。

レート制限と通信制御

• AWS WAF のレート制限ルールや IP ブロックリストで不審なトラフィックを制御。
• セキュリティグループとネットワーク ACL で最小権限の通信設定を適用。

AWS における DDos 対応

調査方法

AWS Shield Advanced のダッシュボード

• Global threat dashboard から攻撃の種類や規模を確認。

AWS WAF のログで攻撃の詳細を調査

• AWS WAF のログから不正トラフィックのパターンを分析。
• 攻撃元のIPアドレス、攻撃内容を特定。

分析方法は下記ドキュメントに分析方法が分かりやすく書いてあります。

Amazon CloudWatch Logs による AWS WAF ログの分析 | Amazon Web Services ブログ

対処方法

AWS WAF でのルール適用

• レート制限ルール: 攻撃的な IP アドレスを特定し、1秒あたりのリクエスト数を超えるアクセスを遮断。
• IP セット: 攻撃元の IP をブロックリストに追加して、再発を防止。

AWS Shield Advanced の DDoS 緩和機能の活用

• 自動的に攻撃を緩和する Shield Advanced のプロテクションを有効化。
• 必要に応じて、DDoS Response Team（DRT）に連絡し、カスタムルールの作成や調整を依頼します。

学習リソース

• AWS DDoSレジリエンシーのベストプラクティス - AWS DDoSレジリエンシーのベストプラクティス
  • AWS 環境での DDoS 攻撃に対する耐障害性を高めるためのベストプラクティスを解説
• How AWS protects customers from DDoS events | AWS Security Blog
  • AWS がどのようにして DDoS 攻撃から顧客を保護しているかを解説
• AWS Solutions Architect ブログ: AWS初心者向けWebinar「AWS上でのDDoS対策」資料およびQA公開
  • AWS 環境での DDoS 対策についての初心者向けウェビナー資料

まとめ

今回、GameDay をきっかけに DDoS 攻撃や AWS での防御策について学ぶことができました。 今後はログの分析の方法などを深く勉強していきたいと思います。 本記事がどなたかの参考になれば幸いです。