このページについて
先日、業務でDoS攻撃をくらったため、AWS WAFを導入することになりました。
導入に伴っていろいろ勉強したこと、DoS攻撃を防ぐAWSサービスであるAWS Shield standardで防げるもの、AWS WAFで防げるものについて記載していこうと思います。
構成
AWS Shield standardについて
- AWS Shield standardは、OSI参照モデルのレイヤー3および4のDoS攻撃を防いでくれる機能です。
- AWS Shield standardは、AWSサービスであるELBやCLoudFrontを使用すると自動的に有効化されます。
AWS Shield standardで防げるレイヤー3および4のDoS攻撃
SYN / ACK / FINフラッド攻撃
レイヤー4で使用するTCP接続を確立するために使用する3ウェイハンドシェークで、最初に投げる制御ビット(SYNやACK、FIN)を大量に送りつけることでサーバ側のキャパシティオーバーを引き起こす方法
UDPフラッド攻撃
UDPパケットを大量に送りつけることでサーバ側のキャパシティオーバーを引き起こす方法
AWS WAFとは
- AWS WAFは、OSI参照モデルのレイヤー7のDoS攻撃を防いでくれる機能です。
- HTTPのGET/POSTメソッドを使用した攻撃に対して有効です(例えば、GETリクエストを大量に送りつけることでサーバ側のキャパシティオーバーを引き起こす方法)。
- AWS WAFの導入には、ALBもしくはCloudFrontを使用する必要があります(CLBでは不可です)。