・DDOS攻撃
複数の攻撃元が協調して大量のパケットやリクエストを送ってサービスを停止させる
・ランサムDDoS
攻撃者が公開サーバーをいつでも停止できる
下記三軸で考える
【高さ】
レイヤーごと
- アプリケーション層攻撃
アプリケーションリソースを攻撃。
HTTPGET
DNSクエリフロッド
→ボットネットと呼ばれる複数の感染ホストを利用し、大量のクエリをDNSに配信
- 状態枯渇攻撃
ファイヤーウォールなどに攻撃
TCP SYNフロッド
→クライアントから意図的にACKを返さないことで、他のユーザがアクセス出来なくする - ボリューム攻撃
処理できる能力を越えたトラフィックを送る
UDP反射攻撃
→攻撃者はIPを偽装。要求と応答のパケットのサイズ差を利用
【深さ】
アプリケーションごとに対策は違う。
→エッジとリージョンなど
・ウェブアプリケーションの場合
エッジでAWS WAF, CloudFrontを利用
リージョンでセキュリティグループで対策
・クライアント/サーバーアプリケーションの場合
EC2の垂直スケール、拡張ネットワークでトラフィック吸収
・ゲームアプリケーションの場合
Routing Matching ServiceでIP配布
特定のIPのみからアクセスするよう制御
【幅】
・地理的分散
→CloudFrontで配信分散
・攻撃対象隠蔽
→セキュリティグループ使用
→Amazon API Gatewayを利用。Web API公開サーバーを立てない
→ELBでEC2を見せない
・攻撃吸収、緩和
→AWS Shieldによる自動緩和システム
→CloudFrontによるGEOリストリクション
→Route53。高可用性
→ELBとAutoscalingでインスタンスそp増減
→拡張ネットワーク。NICへのアクセスを複数あるようにする
・計画、監視
→CloudWatchでの監視
・AWS Shield Standard
Layer 3/4 protection
→一般的な攻撃から防御
無料
Layer 7 protection
→WAFを利用
→使った分だけ支払い
・AWS Shield Advanced
Standardに加え、より大規模な攻撃からの防御