Upgrade to Pro — share decks privately, control downloads, hide ads and more …

DDoSとの終わりなき戦い2025/endless_battle_with_ddos_atta...

Sponsored · Ship Features Fearlessly Turn features on and off without deploys. Used by thousands of Ruby developers.
Avatar for Takuma Kume Takuma Kume
March 25, 2025
Technology
170
3

 DDoSとの終わりなき戦い2025/endless_battle_with_ddos_attack_2025

3社に聞く、DDoSから学ぶ攻撃事例とその対応
https://rosca.connpass.com/event/345972/
#ROSCAFE

Avatar for Takuma Kume

Takuma Kume

March 25, 2025

More Decks by Takuma Kume

See All by Takuma Kume
SRE/インフラエンジニアの市場価値とキャリアパス/Market value and career path for SRE-infrastructure engineers
Avatar for Takuma Kume takumakume
2
1.4k
【新卒研修】共通言語としてのSRE/SRE as a common language
Avatar for Takuma Kume takumakume
0
260
事業部CTOの現在地(パネルディスカッション)/Current-location-of-Division-CTO
Avatar for Takuma Kume takumakume
0
210
ロリポップ! for Gamersを支えるインフラ/lolipop for gamers infrastructure
Avatar for Takuma Kume takumakume
0
1.5k
ロリポップ! for Gamersの立ち上げ/lolipop for gamers launch
Avatar for Takuma Kume takumakume
0
2.9k
ホモグラフドメインを検出してみた/detect homograph domain
Avatar for Takuma Kume takumakume
0
780
ソフトウェアの継続的アップデートをコンテナ化によって加速させる/Accelerate continuous software updates with containerization
Avatar for Takuma Kume takumakume
0
5.5k
KubernetesにおけるSBOMを利用した脆弱性管理/Vulnerability_Management_with_SBOM_in_Kubernetes
Avatar for Takuma Kume takumakume
2
3k
ホスティング事業におけるSREの取り組みと面白さ/SRE Efforts in the Hosting Business and the Interest of SRE
Avatar for Takuma Kume takumakume
2
3.8k

Other Decks in Technology

See All in Technology
AI時代に、 データアナリストがデータエンジニアに異動して
Avatar for jackojacko_ jackojacko_
0
850
Gaussian Splattingの表現力を拡張する — 高周波再構成とインタラクションへのアプローチ —
Avatar for GPU UNITE gpuunite_official
0
170
RedmineをAIで効率的に使う検証
Avatar for Takayuki Yoshioka yoshiokacb
0
100
ボトムアップ限界を越える - 20チームを束る "Drive Map" / Beyond Bottom-Up: A 'Drive Map' for 20 Teams
Avatar for 株式会社カオナビ kaonavi
0
210
鹿野さんに聞く!CSSの最新トレンド Ver.2026
Avatar for tonkotsuboy_com tonkotsuboy_com
6
3.1k
Oracle AI Database@Azure:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
6
1.6k
拝啓、あの夏の僕へ〜あなたも知っているApp Runnerの世界〜
Avatar for 荒木 ARK news_it_enj
0
240
Tachikawa.any 運営挨拶
Avatar for daitasu daitasu
0
170
古今東西SRE
Avatar for Kaoru okaru
2
190
100マイクロサービスのTerraform/Kubernetes管理地獄から抜け出すためのAI活用術
Avatar for Masaki Ishigaki markie1009
0
150
会社説明資料|株式会社ギークプラス ソフトウェア事業部
Avatar for ギークプラス ソフトウェア事業部 geekplus_tech
0
230
マンション備え付けのネットワークとLTE回線を組み合わせた ネットワークの安定化の考案
Avatar for harutiro harutiro
1
130

Featured

See All Featured
How To Speak Unicorn (iThemes Webinar)
Avatar for Michelle Schulp Hunt marktimemedia
1
460
Prompt Engineering for Job Search
Avatar for Mfonobong Umondia mfonobong
0
300
How Fast Is Fast Enough? [PerfNow 2025]
Avatar for Tammy Everts tammyeverts
3
560
HDC tutorial
Avatar for Michiel Stock michielstock
2
660
Art, The Web, and Tiny UX
Avatar for Lynn Fisher lynnandtonic
304
21k
Introduction to Domain-Driven Design and Collaborative software design
Avatar for Kenny Baas-Schwegler baasie
1
780
Redefining SEO in the New Era of Traffic Generation
Avatar for Szymon Słowik szymonslowik
1
300
Self-Hosted WebAssembly Runtime for Runtime-Neutral Checkpoint/Restore in Edge–Cloud Continuum
Avatar for Yuki Nakata chikuwait chikuwait
0
520
Have SEOs Ruined the Internet? - User Awareness of SEO in 2025
Avatar for Akash Hashmi akashhashmi
0
340
jQuery: Nuts, Bolts and Bling
Avatar for Doug Neiner dougneiner
66
8.4k
Evolving SEO for Evolving Search Engines
Avatar for Ryan Jones ryanjones
0
190
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
Avatar for Kevin Liebholz kevinliebholz
37
6.4k

Transcript

  1. DDoSとの終わりなき戦い 2025 久米拓馬 @takumakume / GMO PEPABO inc. 2025.3.26 3社に聞く、DDoSから学ぶ攻撃事例とその対応

    #ROSCAFE

  2. 2 自己紹介 GMOペパボ株式会社 ロリポップ・ムームードメイン事業部 CTO 久米拓馬 @takumakume • 2024年10月から事業部CTO •

    エンジニア人生はインフラ・SRE領域が長く、日々 現場でDDoSと戦っていた • 趣味は睡眠を確保することです
  3. None

  4. ⽬次 • 前提知識:DDoS攻撃パターン • DDoS攻撃防御の⼤原則 • 明⽇からできるDDoS対策 • リスクマネジメント(脅威モデリング‧ASM) •

    環境に依存しない⽇頃の対策 • 「ロリポップ!」の構成と事例

  5. 前提知識:DDoS攻撃パターン DDoS攻撃はDoS攻撃と⽐較して、送信元が分散しており 正当なリクエストと区別することが難しく対処が困難である。 本セッションを聞いていただく上での前提知識として DDoS攻撃を2つに分類して説明します。

  6. 前提知識:DDoS攻撃パターン インフラレイヤ (ボリューム型・プロトコル型) アプリケーションレイヤ 手法 大量のパケットを送信して帯域幅を 枯渇させる。 L3, L4のインターネットプロトコルの 特性を利用してリソースを枯渇させ

    る。 L7のアプリケーションレイヤの 特性を利用してリソースを枯渇 させる。 種類 UDP フラッド SYN フラッド … HTTP フラッド SMTP フラッド …

  7. 7 DDoS攻撃を防ぐには?

  8. 前提知識:DDoS攻撃パターン > DDoS攻撃を防ぐには? CDNを⼊れて、ほぼ無限にスケールできる クラウドインフラストラクチャを使いましょう! 以上、ご清聴ありがとうございました。

  9. 前提知識:DDoS攻撃パターン > DDoS攻撃を防ぐには? CDNを⼊れて、ほぼ無限にスケールできる クラウドインフラストラクチャを使いましょう! 以上、ご清聴ありがとうございました。

  10. 10 DDoS攻撃防御の大原則

  11. DDoS攻撃防御の⼤原則 • できるだけネットワークの上位で通信を処理 • ⼤容量ネットワークの確保 • アプリケーションの処理性能を上げる • アタックサーフェイスの最⼩化

  12. DDoS攻撃防御の⼤原則 • エッジでのコンテンツ配信(オリジンからのオフロード) • ⼤規模なネットワーク • ⾼性能な攻撃防御ソリューション • リソースのオートスケール、それを⽀える⼤規模インフラ なぜ⼤⼿CDN‧クラウドベンダーがDDoSに強いか

  13. DDoS攻撃防御の⼤原則 > なぜ⼤⼿CDN‧クラウドベンダーがDDoSに強いか 上位ネットワークでいい感じ攻撃を検知して遮断する DDoS攻撃 インターネット 大規模なインフラから得られる情報と、専門知識をもったチームによって開発されたソ リューション 攻撃を検知し遮断

  14. DDoS攻撃防御の⼤原則 > なぜ⼤⼿CDN‧クラウドベンダーがDDoSに強いか インフラレイヤにおけるボリューム型攻撃の耐性において ネットワークの帯域が重要 DDoS攻撃 インターネット この帯域以上の DDoS攻撃は物理的 に耐えられない

    フィルタリングをして も上位の回線が埋 まってしまうとサービ ス提供できない

  15. DDoS攻撃防御の⼤原則 > なぜ⼤⼿CDN‧クラウドベンダーがDDoSに強いか アプリケーションがボトルネックになったときに 受け切るスケーラビリティ DDoS攻撃 インターネット 上位ネットワークを通過してくるDDoS攻撃に対応

  16. DDoS攻撃防御の⼤原則 • コストが許容できない • フィルタをバイパスする攻撃が到達 • キャッシュができないコンテンツがある • アプリケーションをスケールできない 現実の問題

  17. 17 明日からできる DDoS対策

  18. 明⽇からできるDDoS対策 • 脅威モデリング • アタックサーフェイスマネジメント(ASM) リスクマネジメント

  19. 明⽇からできるDDoS対策 > リスクマネジメント • システムの潜在的な脆弱性‧リスクを体系的に洗い出し、対策を検討 するプロセス • ⼿順 • DFDでシステムやデータの流れを可視化

    • 脅威分類フレームワークで脅威を分類 脅威モデリング

  20. 明⽇からできるDDoS対策 > リスクマネジメント > 脅威モデリング DFD(Data Flow Diagram) API Fronte

    nd User DB https https mysql https 外部エンティティ プロセス データ ストア データフロー 凡例 信頼境界 外部API システム内外のデータの流れを可視化し、どこに脅威が潜んでいるかを把握しやすくする

  21. 明⽇からできるDDoS対策 > リスクマネジメント > 脅威モデリング • STRIDE • S (Spoofing):

    なりすまし • T (Tampering): データ改ざん • R (Repudiation): 否認 • I (Information Disclosure): 情報漏えい • D (Denial of Service): サービス拒否 • E (Elevation of Privilege): 特権昇格 脅威分類フレームワーク

  22. 明⽇からできるDDoS対策 > リスクマネジメント 脅威モデリング https://speakerdeck.com/mrtc0/cloudnative-days-tokyo-2021-number-cndt2021-number-cndt2021-b

  23. 明⽇からできるDDoS対策 > リスクマネジメント • 攻撃者の視点に⽴ち、外部に公開しているIT資産のアタックサーフェ イスを網羅的に把握しリスク評価をする アタックサーフェイスマネジメント(ASM)

  24. 明⽇からできるDDoS対策 > リスクマネジメント > アタックサーフェイスマネジメント(ASM) • ペパボでは、独⾃のツールを⽤いて管理下にあるIPアドレスに対して オープンポートを監視している。 オープンポートの監視

  25. 明⽇からできるDDoS対策 • パフォーマンスチューニング • 1リクエストで消費するリソースを少なくする • 処理コスト、経済的損失が⼤きいリクエストの成功難易度を上げる • reCAPTCHA •

    Rate limit 環境に依存しない⽇頃の対策 上位ネットワークで吸収・遮断しきれないDDoS攻撃は起きる。 対してアプリケーションを無限にスケールするのは攻撃者の思う壺。

  26. 明⽇からできるDDoS対策 • インシデントレスポンス体制の整備 • ⼿順の準備 • シミュレーションの実施 環境に依存しない⽇頃の対策 (続)

  27. 明⽇からできるDDoS対策 > 環境に依存しない⽇頃の対策 > インシデントレスポンス体制の整備 https://speakerdeck.com/hiboma/yapc-kyoto-2023

  28. 明⽇からできるDDoS対策 > 環境に依存しない⽇頃の対策 > インシデントレスポンス体制の整備

  29. 29 ロリポップ!の構成と事例

  30. None

  31. 〜省略〜

  32. Web site 250万+ Traffic 18Gbps+ Baremetal 1000+ VM 500+ 規模

  33. 物理サーバ 1000台+ ・・・ お客様のWebサイト 250万+ オンプレミス データセンター インターネット 構成 平時のトラフィックパターンを学習し

    DDoSが 発生した場合に軽減している

  34. 物理サーバ 1000台+ ・・・ お客様のWebサイト 250万+ オンプレミス データセンター インターネット コンテンツキャッシュ機能 キャッシュサーバ

    できるだけリクエストを オリジンサーバに到達させなため のキャッシュサーバ 需要が高いWordPressに特化した キャッシュ機能を提供

  35. コンテンツキャッシュ機能 https://speakerdeck.com/takumakume/2-million-more-than-the-domain-the-back-of-the-rental-server-content-cache

  36. 物理サーバ 1000台+ ・・・ お客様のWebサイト 250万+ オンプレミス データセンター インターネット Blackhole routing

    大規模なインフラレイヤのボリューム型攻 撃への対策 特定のIPアドレス向けのトラフィックを すべて破棄しネットワークの 帯域を確保する DDoS攻撃

  37. Blackhole routing https://speakerdeck.com/takumakume/endless-battle-with-ddos-attack

  38. 38 まとめ

  39. まとめ • DDoS攻撃は「インフラレイヤ」、「アプリケーションレイヤ」があり対 策⽅法が異なる • DDoS対策はネットワークやリソースのキャパシティが⼤きいほど有利で ある • リスクマネジメント⼿法として「脅威モデリング」「ASM」を紹介した •

    ロリポップ!での取り組みとして「コンテンツキャッシュ機能」や 「Blackhole Routing」を紹介した

  40. 40 Thank You! Thank You! GMOペパボのエンジニアに興味がある方は @takumakume までご連絡ください! カジュアル面談でもお待ちしております。