マネージド分散型サービス拒否 (DDoS) 保護サービス、ウェブアクセスファイアウォール (WAF)、およびコンテンツ配信ネットワーク (CDN) を使用した保護および緩和手法

サービス拒否 (DoS) 攻撃は、正当なエンドユーザーに対するウェブサイトやアプリケーションなど、対象システムの可用性に影響を与える悪意のある試みです。通常、攻撃者は最終的に標的システムを圧倒する大量のパケットまたはリクエストを生成します。分散型サービス拒否 (DDoS) 攻撃の場合、攻撃者は複数の侵害または制御されたソースを使用して攻撃を生成します。

一般的に、DDoS 攻撃は、オープンシステム相互接続 (OSI) モデルで攻撃してきたレイヤーによって分離できます。これらは、ネットワーク (レイヤー 3)、転送 (レイヤー 4)、プレゼンテーション (レイヤー 6)、およびアプリケーション (レイヤー 7) レイヤーで最も一般的です。


# レイヤー アプリケーション 説明 ベクトルの例
7 アプリケーション データ アプリケーションへのネットワークプロセス HTTP フラッド、DNS クエリフラッド
6 プレゼンテーション データ データ表現と暗号化 SSL の悪用
5 セッション データ ホスト間通信 該当なし
4 転送 セグメント エンドツーエンドの接続と信頼性 SYN フラッド
3 ネットワーク パケット パス決定と論理アドレス指定 UDP リフレクション攻撃
2 データリンク フレーム 物理アドレス指定 該当なし
1 物理 ビット メディア、信号、およびバイナリ伝送 該当なし

これらの攻撃に対する緩和技術について考える一方で、それらをインフラストラクチャレイヤー (レイヤー 3 および 4) とアプリケーションレイヤー (レイヤー 6 および 7) 攻撃としてグループ化することに役立ちます。

インフラストラクチャーレイヤー攻撃

レイヤー 3 および 4 での攻撃は、通常、インフラストラクチャレイヤー攻撃に分類されます。これらは最も一般的なタイプの DDoS 攻撃でもあり、同期 (SYN) フラッドなどのベクトルや、ユーザーデータグラムパケット (UDP) フラッドなどの他のリフレクション攻撃が含まれます。通常、これらの攻撃は大規模で、ネットワークまたはアプリケーションサーバーの容量を過負荷にすることを目的としています。しかし、幸いなことに、これらは明確なシグネチャを持つため、検出が容易なタイプの攻撃でもあります。

アプリケーションレイヤー攻撃

レイヤー 6 および 7 での攻撃は、多くの場合、アプリケーションレイヤー攻撃に分類されます。これらの攻撃はあまり一般的ではありませんが、より高度になる傾向があります。これらの攻撃は、通常、インフラストラクチャレイヤーの攻撃に比べて量は少ないものの、アプリケーションの特定の高価格な部分に集中する傾向があるため、実際のユーザーは利用できません。たとえば、ログインページへの HTTP リクエストのフラッド、高価な検索 API、または Wordpress XML-RPC フラッド (Wordpress pingback 攻撃) などがあります。

攻撃対象領域を削減

DDoS 攻撃を軽減する最初の手法の 1 つは、攻撃される可能性のある表面領域を最小限に抑えることで、攻撃者の選択肢を制限し、1 か所で保護を構築できるようにすることです。私たちは、アプリケーションやリソースを、通信が予期されないポート、プロトコル、またはアプリケーションに公開しません。したがって、攻撃される可能性のあるポイントを最小限に抑え、緩和への努力を集中させることができます。場合によっては、コンテンツ配信ネットワーク (CDN) またはロードバランサーの背後に計算リソースを配置し、データベースサーバーなどのインフラストラクチャの特定の部分への直接インターネットトラフィックを制限することで実現できます。また、ファイアウォールまたはアクセスコントロールリスト (ACL) を使用して、アプリケーションに到達するトラフィックを制御することもできます。

スケールの計画

大規模なボリューム DDoS 攻撃を軽減するには、攻撃を吸収および軽減するための帯域幅 (または転送) 容量とサーバー容量の 2 つの重要事項を考慮する必要があります。

トランジット容量です。 アプリケーションを設計するときは、ホスティングプロバイダーが十分な冗長インターネット接続を提供し、大量のトラフィックを処理できるようにしてください。DDoS 攻撃の究極の目的はリソース/アプリケーションの可用性に影響を与えることです。したがって、エンドユーザーの近くだけでなく、大量のトラフィックが発生している場合でもユーザーがアプリケーションに簡単にアクセスできる大規模なインターネット交換の近くに配置する必要があります。さらに、ウェブアプリケーションは、コンテンツ配信ネットワーク (CDN) およびスマート DNS 解決サービスを採用することで、さらに一歩前進できます。これによって、コンテンツを提供し、エンドユーザーに近い場所から DNS クエリを解決するためのネットワークインフラストラクチャの追加レイヤーを提供します。

サーバー容量です。 ほとんどの DDoS 攻撃は、大量のリソースを消費するボリューム攻撃です。したがって、計算リソースを迅速に拡大または縮小できることが重要です。これは、より大きな計算リソースで実行するか、より大規模なネットワークインターフェイスなどの機能を備えた、または大容量をサポートする拡張されたネットワークで実行できます。また、ロードバランサーを使用してリソース間の負荷を継続的に監視およびシフトし、1 つのリソースの過負荷を防ぐことも一般的な方法です。

正常なトラフィックと異常なトラフィックについて知る

ホストに到達するトラフィックレベルの上昇を検出するたびに、ベースラインは、可用性に影響を与えずにホストが処理できるトラフィックのみを受け入れるようにすることです。この概念はレート制限と呼ばれます。より高度な保護技術はさらに一歩進んで、個々のパケット自体を分析することで正当なトラフィックのみをインテリジェントに受け入れます。これを行うには、通常ターゲットが受信する良好なトラフィックの特性を理解し、各パケットをこのベースラインと比較する必要があります。

洗練されたアプリケーション攻撃のためのファイアウォールをデプロイ

SQL インジェクションやクロスサイトリクエストフォージェリなどの攻撃に対して、アプリケーション自体の脆弱性を悪用しようとするウェブアプリケーションファイアウォール (WAF) を使用することをお勧めします。さらに、これらの攻撃の固有性質により、不正なリクエストに対してカスタマイズされた緩和策を簡単に作成できます。これは、良好なトラフィックを装ったり、悪質な IP、予期しない地域などからの偽装などの特性を持つ可能性があります。また、トラフィックパターンを調査し、カスタマイズされた保護を作成するために経験豊富なサポートを受けることで、攻撃を軽減できる場合もあります。

サインアップ

アカウントには AWS 無料利用枠が適用されるため、AWS のプラットフォーム、製品、サービスを無料で実際に試してみることができます。

構築

すべての AWS のお客様は、追加料金なしで AWS Shield Standard の保護の適用を自動的に受けることができます。