AWS セキュリティ入門 DDoS 攻撃対策ガイド

インフラストラクチャレイヤー攻撃は OSI 参照モデルにおける 3、4 層のネットワークの基本的な通信機能を標的とした攻撃であり、大量のトラフィックを発生させてネットワークやサーバーのリソースに過負荷をかけるのが特徴の攻撃です。インフラストラクチャレイヤー攻撃には、TCP 3 ウェイハンドシェイクを悪用する SYN フラッド攻撃や DNS などの仕組みを悪用することで大量の増幅された UDP パケットを送信する UDP リフレクション攻撃などがあります。これらの攻撃は、同じタイプのパケットが短時間に大量に発生する、同じ宛先に対して異常な量のリクエストを送信する、偽装された IP アドレスを利用しているなどの通常のネットワークトラフィックとは異なるパターンが存在するため、DDoS 攻撃のトラフィックを検知しやすいと言われています。

アプリケーションレイヤー攻撃は OSI 参照モデルにおける 6、7 層を標的とした攻撃であり、特定のウェブサイトやアプリケーションを標的として少ないリクエストで大きな影響を与える特徴のある攻撃です。アプリケーションレイヤー攻撃には、大量の負荷の高い HTTP リクエストを送信することで Web サーバーに過負荷をかける HTTP フラッド攻撃や、名前解決ができないリクエストを大量に送信することで DNS サーバーに負荷をかける DNS クエリフラッド攻撃などがあります。これらの攻撃では、インフラストラクチャレイヤー攻撃で行えていたような異常なトラフィックのパターンの判定が難しい場合があります。

Amazon API Gateway は、フルマネージドで API フロントエンドの作成を行えるサービスです。API は外部に公開した際にDDoS 攻撃の標的となる可能性があります。Amazon API Gateway を用いることで、アプリケーションのコンポーネントを外部から隠蔽し、DDoS 攻撃のリスクを軽減することができます。また、Amazon API Gateway は Amazon CloudFront や AWS WAF との連携が可能であり、これによってさらなる攻撃を緩和が可能です。

Elastic Load Blancing (ELB) の後段に Amazon Elastic Computing Cloud (EC2) などのコンピューティングリソースを配置する場合、これらのリソースは外部からアクセス可能にする必要性はありません。これは、Amazon Virtual Private Cloud (VPC) 内のネットワークアクセスコントロールリスト (NACL) とセキュリティグループという 2 種類のファイアウォールを適切に作成することで達成可能です。

Amazon CloudFront は、世界中に分散されたエッジロケーションにコンテンツをキャッシュすることでオリジンサーバーの負荷を軽減するContent Delivery Network (CDN) サービスです。セキュリティサービスではありませんが、DDoS 攻撃対策という観点で Amazon CloudFront には次のようなメリットがあります。

• キャッシュによってオリジンサーバーへの通信量を減少させ、アクセス集中を緩和できる
• プロトコルを HTTP/S のみに限定することで UDP リフレクション攻撃をブロックできる
• 通信の過程でエッジサーバーとの TCP3 ウェイハンドシェイクの確立が必要なので、IP アドレスの詐称を行う SYN フラッド攻撃などをブロックできる
• 日本国内向けなどのサービスの場合、地理的制限により特定地域からのアクセスをブロックできる
• スロー HTTP 攻撃に対し、自動的に接続を閉じることで攻撃を緩和できる
• Amazon CloudFront VPC オリジン や AWS マネージドプレフィックスリスト の使用により、オリジンサーバーの隠蔽が可能
• SSL/TLS をエッジロケーションで終端できるので、TLS 消費攻撃を緩和できる
• AWS WAF との連携が可能 

AWS WAF は AWS の Web Application Firewall のサービスであり、様々な脆弱性を悪用する攻撃からアプリケーションの保護が可能です。AWS WAF は保護対象としての対応リソースにアタッチして利用する形式であり、保護対象リソースは、Amazon CloudFront、フルマネージドな API フロントエンドサービスである Amazon API Gateway、L7 で動作するロードバランサーである Application Load Balancer などです。AWS WAF は様々なルールをアタッチ可能ですが、DDoS 攻撃対策という観点で有用な AWS マネージドルールには次のようなものがあります。

• Core rule set
  OWASP Top 10 に掲載されている高リスクなものや一般的なものなど幅広い脆弱性の悪用からの保護が可能
• Bot control
  DDoS 攻撃の際に遠隔操作で標的にリクエストを送信するデバイスであるボットのリクエストから 2 種類の保護レベルで対象リソースを保護するルールを提供
  • Common
    スクレイピング、検索エンジン、自動ブラウザなど様々な自己識別ボットを検出
  • Targeted
    一般的なボットに加え、自己識別を行わない高度なボットに対するターゲットを絞った検出機能を追加
• Amazon IP reputation List
  Amazon の内部脅威インテリジェンスに基づいて、悪意のあるアクティビティや DDoS への関与をしていることが判明したリクエストを検査

また、ACL のルールの作成で特定時間内の同一 IP アドレスからのリクエスト受信をブロックするレート制限ルールの作成を行うことも可能であり、DDoS 攻撃対策として有用です。

AWS WAF は機械的に通信を検知するため、適用するルールが厳しすぎると誤検知を起こし、正常なトラフィックもブロックしてしまう可能性があるため、システムに合わせたルールの設計が必要です。具体的には、最終的なデプロイ前にカウントモードで検証することが有効です。詳しくは こちら をご覧ください。

Amazon Route 53 は、AWS が提供する高可用性でスケーラブルな DNS サービスです。Amazon Route 53 は AWS グローバルエッジロケーションでホストされており、大量の DNS トラフィックを吸収することができます。また、Amazon Route 53 は、シャッフルシャーディング と呼ばれるような冗長化技術や エニーキャストストライピング と呼ばれるルーティング最適化技術、さらに正常な DNS クエリに優先順位を付け、疑わしいまたは既知の DDoS 攻撃属性の優先度を下げるスコアリング手法などを用いることで DDoS 攻撃を自動的に緩和します。

大規模にコンピューティングリソースを運用し、アクセスが集中した際に自動的にスケーリングし、負荷分散を行うことで、DDoS 攻撃が発生した場合でもシステムの可用性に直ちに影響が出ないようにすることが可能です。こちらは Elastic Load Balancing の後段に Amazon EC2 Auto Scaling を配置することで達成できます。また、前段に ELB を前段に配置することで、アプリケーションのコンポーネントを外部ネットワークから隠蔽・保護することができます。ELB も AWS WAF をアタッチして悪意のあるトラフィックをブロックすることが可能です。