Upgrade to Pro — share decks privately, control downloads, hide ads and more …

DDoSとの終わりなき戦い2025/endless_battle_with_ddos_atta...

Avatar for Takuma Kume Takuma Kume
March 25, 2025
Technology
3
120

 DDoSとの終わりなき戦い2025/endless_battle_with_ddos_attack_2025

3社に聞く、DDoSから学ぶ攻撃事例とその対応
https://rosca.connpass.com/event/345972/
#ROSCAFE

Avatar for Takuma Kume

Takuma Kume

March 25, 2025
Tweet

More Decks by Takuma Kume

See All by Takuma Kume
SRE/インフラエンジニアの市場価値とキャリアパス/Market value and career path for SRE-infrastructure engineers
Avatar for Takuma Kume takumakume
2
890
【新卒研修】共通言語としてのSRE/SRE as a common language
Avatar for Takuma Kume takumakume
0
170
事業部CTOの現在地(パネルディスカッション)/Current-location-of-Division-CTO
Avatar for Takuma Kume takumakume
0
130
ロリポップ! for Gamersを支えるインフラ/lolipop for gamers infrastructure
Avatar for Takuma Kume takumakume
0
890
ロリポップ! for Gamersの立ち上げ/lolipop for gamers launch
Avatar for Takuma Kume takumakume
0
2.5k
ホモグラフドメインを検出してみた/detect homograph domain
Avatar for Takuma Kume takumakume
0
610
ソフトウェアの継続的アップデートをコンテナ化によって加速させる/Accelerate continuous software updates with containerization
Avatar for Takuma Kume takumakume
0
5.2k
KubernetesにおけるSBOMを利用した脆弱性管理/Vulnerability_Management_with_SBOM_in_Kubernetes
Avatar for Takuma Kume takumakume
2
2.6k
ホスティング事業におけるSREの取り組みと面白さ/SRE Efforts in the Hosting Business and the Interest of SRE
Avatar for Takuma Kume takumakume
2
2.9k

Other Decks in Technology

See All in Technology
Oracle Cloud Infrastructure IaaS 新機能アップデート 2025/06 - 2025/08
Avatar for oracle4engineer oracle4engineer
PRO
0
110
Django's GeneratedField by example - DjangoCon US 2025
Avatar for Paolo Melchiorre pauloxnet
0
150
自作JSエンジンに推しプロポーザルを実装したい!
Avatar for Saji sajikix
1
190
サラリーマンの小遣いで作るtoCサービス - Cloudflare Workersでスケールする開発戦略
Avatar for shinaps shinaps
2
470
いま注目のAIエージェントを作ってみよう
Avatar for Marimo supermarimobros
0
350
IoT x エッジAI - リアルタイ ムAI活用のPoCを今すぐ始め る方法 -
Avatar for niizawat niizawat
0
110
Terraformで構築する セルフサービス型データプラットフォーム / terraform-self-service-data-platform
Avatar for pei0804 pei0804
1
190
slog.Handlerのよくある実装ミス
Avatar for H.Saki sakiengineer
4
470
EncryptedSharedPreferences が deprecated になっちゃった!どうしよう! / Oh no! EncryptedSharedPreferences has been deprecated! What should I do?
Avatar for Yuki Anzai yanzm
0
490
Snowflake Intelligence × Document AIで“使いにくいデータ”を“使えるデータ”に
Avatar for Kosaku Ono kevinrobot34
1
110
人工衛星のファームウェアをRustで書く理由
Avatar for KOBA789 koba789
15
8.2k
LLMを搭載したプロダクトの品質保証の模索と学び
Avatar for SmartHR 品質保証部 qa
0
1.1k

Featured

See All Featured
The Pragmatic Product Professional
Avatar for Laura Van Doore lauravandoore
36
6.9k
Reflections from 52 weeks, 52 projects
Avatar for Jefferson Lam jeffersonlam
352
21k
Visualization
Avatar for Eitan Lees eitanlees
148
16k
Balancing Empowerment & Direction
Avatar for Lara Hogan lara
3
620
No one is an island. Learnings from fostering a developers community.
Avatar for Antonio thoeni
21
3.4k
JavaScript: Past, Present, and Future - NDC Porto 2020
Avatar for David Neal reverentgeek
52
5.6k
[RailsConf 2023] Rails as a piece of cake
Avatar for Vladimir Dementyev palkan
57
5.8k
Mobile First: as difficult as doing things right
Avatar for Swwweet swwweet
224
9.9k
The Straight Up "How To Draw Better" Workshop
Avatar for Dennis Kardys denniskardys
236
140k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
Avatar for Rebecca Miller-Webster rmw
35
3.1k
Building Adaptive Systems
Avatar for Chris Keathley keathley
43
2.7k
Producing Creativity
Avatar for Steve Smith orderedlist
PRO
347
40k

Transcript

  1. DDoSとの終わりなき戦い 2025 久米拓馬 @takumakume / GMO PEPABO inc. 2025.3.26 3社に聞く、DDoSから学ぶ攻撃事例とその対応

    #ROSCAFE

  2. 2 自己紹介 GMOペパボ株式会社 ロリポップ・ムームードメイン事業部 CTO 久米拓馬 @takumakume • 2024年10月から事業部CTO •

    エンジニア人生はインフラ・SRE領域が長く、日々 現場でDDoSと戦っていた • 趣味は睡眠を確保することです
  3. None

  4. ⽬次 • 前提知識:DDoS攻撃パターン • DDoS攻撃防御の⼤原則 • 明⽇からできるDDoS対策 • リスクマネジメント(脅威モデリング‧ASM) •

    環境に依存しない⽇頃の対策 • 「ロリポップ!」の構成と事例

  5. 前提知識:DDoS攻撃パターン DDoS攻撃はDoS攻撃と⽐較して、送信元が分散しており 正当なリクエストと区別することが難しく対処が困難である。 本セッションを聞いていただく上での前提知識として DDoS攻撃を2つに分類して説明します。

  6. 前提知識:DDoS攻撃パターン インフラレイヤ (ボリューム型・プロトコル型) アプリケーションレイヤ 手法 大量のパケットを送信して帯域幅を 枯渇させる。 L3, L4のインターネットプロトコルの 特性を利用してリソースを枯渇させ

    る。 L7のアプリケーションレイヤの 特性を利用してリソースを枯渇 させる。 種類 UDP フラッド SYN フラッド … HTTP フラッド SMTP フラッド …

  7. 7 DDoS攻撃を防ぐには?

  8. 前提知識:DDoS攻撃パターン > DDoS攻撃を防ぐには? CDNを⼊れて、ほぼ無限にスケールできる クラウドインフラストラクチャを使いましょう! 以上、ご清聴ありがとうございました。

  9. 前提知識:DDoS攻撃パターン > DDoS攻撃を防ぐには? CDNを⼊れて、ほぼ無限にスケールできる クラウドインフラストラクチャを使いましょう! 以上、ご清聴ありがとうございました。

  10. 10 DDoS攻撃防御の大原則

  11. DDoS攻撃防御の⼤原則 • できるだけネットワークの上位で通信を処理 • ⼤容量ネットワークの確保 • アプリケーションの処理性能を上げる • アタックサーフェイスの最⼩化

  12. DDoS攻撃防御の⼤原則 • エッジでのコンテンツ配信(オリジンからのオフロード) • ⼤規模なネットワーク • ⾼性能な攻撃防御ソリューション • リソースのオートスケール、それを⽀える⼤規模インフラ なぜ⼤⼿CDN‧クラウドベンダーがDDoSに強いか

  13. DDoS攻撃防御の⼤原則 > なぜ⼤⼿CDN‧クラウドベンダーがDDoSに強いか 上位ネットワークでいい感じ攻撃を検知して遮断する DDoS攻撃 インターネット 大規模なインフラから得られる情報と、専門知識をもったチームによって開発されたソ リューション 攻撃を検知し遮断

  14. DDoS攻撃防御の⼤原則 > なぜ⼤⼿CDN‧クラウドベンダーがDDoSに強いか インフラレイヤにおけるボリューム型攻撃の耐性において ネットワークの帯域が重要 DDoS攻撃 インターネット この帯域以上の DDoS攻撃は物理的 に耐えられない

    フィルタリングをして も上位の回線が埋 まってしまうとサービ ス提供できない

  15. DDoS攻撃防御の⼤原則 > なぜ⼤⼿CDN‧クラウドベンダーがDDoSに強いか アプリケーションがボトルネックになったときに 受け切るスケーラビリティ DDoS攻撃 インターネット 上位ネットワークを通過してくるDDoS攻撃に対応

  16. DDoS攻撃防御の⼤原則 • コストが許容できない • フィルタをバイパスする攻撃が到達 • キャッシュができないコンテンツがある • アプリケーションをスケールできない 現実の問題

  17. 17 明日からできる DDoS対策

  18. 明⽇からできるDDoS対策 • 脅威モデリング • アタックサーフェイスマネジメント(ASM) リスクマネジメント

  19. 明⽇からできるDDoS対策 > リスクマネジメント • システムの潜在的な脆弱性‧リスクを体系的に洗い出し、対策を検討 するプロセス • ⼿順 • DFDでシステムやデータの流れを可視化

    • 脅威分類フレームワークで脅威を分類 脅威モデリング

  20. 明⽇からできるDDoS対策 > リスクマネジメント > 脅威モデリング DFD(Data Flow Diagram) API Fronte

    nd User DB https https mysql https 外部エンティティ プロセス データ ストア データフロー 凡例 信頼境界 外部API システム内外のデータの流れを可視化し、どこに脅威が潜んでいるかを把握しやすくする

  21. 明⽇からできるDDoS対策 > リスクマネジメント > 脅威モデリング • STRIDE • S (Spoofing):

    なりすまし • T (Tampering): データ改ざん • R (Repudiation): 否認 • I (Information Disclosure): 情報漏えい • D (Denial of Service): サービス拒否 • E (Elevation of Privilege): 特権昇格 脅威分類フレームワーク

  22. 明⽇からできるDDoS対策 > リスクマネジメント 脅威モデリング https://speakerdeck.com/mrtc0/cloudnative-days-tokyo-2021-number-cndt2021-number-cndt2021-b

  23. 明⽇からできるDDoS対策 > リスクマネジメント • 攻撃者の視点に⽴ち、外部に公開しているIT資産のアタックサーフェ イスを網羅的に把握しリスク評価をする アタックサーフェイスマネジメント(ASM)

  24. 明⽇からできるDDoS対策 > リスクマネジメント > アタックサーフェイスマネジメント(ASM) • ペパボでは、独⾃のツールを⽤いて管理下にあるIPアドレスに対して オープンポートを監視している。 オープンポートの監視

  25. 明⽇からできるDDoS対策 • パフォーマンスチューニング • 1リクエストで消費するリソースを少なくする • 処理コスト、経済的損失が⼤きいリクエストの成功難易度を上げる • reCAPTCHA •

    Rate limit 環境に依存しない⽇頃の対策 上位ネットワークで吸収・遮断しきれないDDoS攻撃は起きる。 対してアプリケーションを無限にスケールするのは攻撃者の思う壺。

  26. 明⽇からできるDDoS対策 • インシデントレスポンス体制の整備 • ⼿順の準備 • シミュレーションの実施 環境に依存しない⽇頃の対策 (続)

  27. 明⽇からできるDDoS対策 > 環境に依存しない⽇頃の対策 > インシデントレスポンス体制の整備 https://speakerdeck.com/hiboma/yapc-kyoto-2023

  28. 明⽇からできるDDoS対策 > 環境に依存しない⽇頃の対策 > インシデントレスポンス体制の整備

  29. 29 ロリポップ!の構成と事例

  30. None

  31. 〜省略〜

  32. Web site 250万+ Traffic 18Gbps+ Baremetal 1000+ VM 500+ 規模

  33. 物理サーバ 1000台+ ・・・ お客様のWebサイト 250万+ オンプレミス データセンター インターネット 構成 平時のトラフィックパターンを学習し

    DDoSが 発生した場合に軽減している

  34. 物理サーバ 1000台+ ・・・ お客様のWebサイト 250万+ オンプレミス データセンター インターネット コンテンツキャッシュ機能 キャッシュサーバ

    できるだけリクエストを オリジンサーバに到達させなため のキャッシュサーバ 需要が高いWordPressに特化した キャッシュ機能を提供

  35. コンテンツキャッシュ機能 https://speakerdeck.com/takumakume/2-million-more-than-the-domain-the-back-of-the-rental-server-content-cache

  36. 物理サーバ 1000台+ ・・・ お客様のWebサイト 250万+ オンプレミス データセンター インターネット Blackhole routing

    大規模なインフラレイヤのボリューム型攻 撃への対策 特定のIPアドレス向けのトラフィックを すべて破棄しネットワークの 帯域を確保する DDoS攻撃

  37. Blackhole routing https://speakerdeck.com/takumakume/endless-battle-with-ddos-attack

  38. 38 まとめ

  39. まとめ • DDoS攻撃は「インフラレイヤ」、「アプリケーションレイヤ」があり対 策⽅法が異なる • DDoS対策はネットワークやリソースのキャパシティが⼤きいほど有利で ある • リスクマネジメント⼿法として「脅威モデリング」「ASM」を紹介した •

    ロリポップ!での取り組みとして「コンテンツキャッシュ機能」や 「Blackhole Routing」を紹介した

  40. 40 Thank You! Thank You! GMOペパボのエンジニアに興味がある方は @takumakume までご連絡ください! カジュアル面談でもお待ちしております。