Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
DDoSとの終わりなき戦い2025/endless_battle_with_ddos_atta...
Search
Takuma Kume
March 25, 2025
Technology
2
81
DDoSとの終わりなき戦い2025/endless_battle_with_ddos_attack_2025
3社に聞く、DDoSから学ぶ攻撃事例とその対応
https://rosca.connpass.com/event/345972/
#ROSCAFE
Takuma Kume
March 25, 2025
Tweet
Share
More Decks by Takuma Kume
See All by Takuma Kume
【新卒研修】共通言語としてのSRE/SRE as a common language
takumakume
0
85
事業部CTOの現在地(パネルディスカッション)/Current-location-of-Division-CTO
takumakume
0
75
ロリポップ! for Gamersを支えるインフラ/lolipop for gamers infrastructure
takumakume
0
720
ロリポップ! for Gamersの立ち上げ/lolipop for gamers launch
takumakume
0
2.2k
ホモグラフドメインを検出してみた/detect homograph domain
takumakume
0
540
ソフトウェアの継続的アップデートをコンテナ化によって加速させる/Accelerate continuous software updates with containerization
takumakume
0
5k
KubernetesにおけるSBOMを利用した脆弱性管理/Vulnerability_Management_with_SBOM_in_Kubernetes
takumakume
1
2.3k
ホスティング事業におけるSREの取り組みと面白さ/SRE Efforts in the Hosting Business and the Interest of SRE
takumakume
1
2.7k
GitOpsで実現するPull Request毎のプレビュー環境/Preview environment for each Pull Request by GitOps
takumakume
0
1.7k
Other Decks in Technology
See All in Technology
コスト最適重視でAurora PostgreSQLのログ分析基盤を作ってみた #jawsug_tokyo
non97
0
100
Amazon CloudWatchで始める エンドユーザー体験のモニタリング
o11yfes2023
0
190
いつも初心者向けの記事に助けられているので得意分野では初心者向けの記事を書きます
toru_kubota
2
320
AIで進化するソフトウェアテスト:mablの最新生成AI機能でQAを加速!
mfunaki
0
140
Cross Data Platforms Meetup LT 20250422
tarotaro0129
1
590
生成AIによるCloud Native基盤構築の可能性と実践的ガードレールの敷設について
nwiizo
7
730
【Λ(らむだ)】最近のアプデ情報 / RPALT20250422
lambda
0
110
Cursor AgentによるパーソナルAIアシスタント育成入門―業務のプロンプト化・MCPの活用
os1ma
13
4.7k
От ручной разметки к LLM: как мы создавали облако тегов в Lamoda. Анастасия Ангелова, Data Scientist, Lamoda Tech
lamodatech
0
730
AIと開発者の共創: エージェント時代におけるAIフレンドリーなDevOpsの実践
bicstone
1
310
SmartHR プロダクトエンジニア求人ガイド_2025 / PdE job guide 2025
smarthr
0
120
日経電子版 for Android の技術的課題と取り組み(令和最新版)/android-20250423
nikkei_engineer_recruiting
0
330
Featured
See All Featured
GitHub's CSS Performance
jonrohan
1030
460k
How GitHub (no longer) Works
holman
314
140k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
19
1.1k
Site-Speed That Sticks
csswizardry
5
490
Being A Developer After 40
akosma
91
590k
Agile that works and the tools we love
rasmusluckow
328
21k
Imperfection Machines: The Place of Print at Facebook
scottboms
267
13k
Why Our Code Smells
bkeepers
PRO
336
57k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
34
2.2k
GraphQLとの向き合い方2022年版
quramy
46
14k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
45
9.5k
Writing Fast Ruby
sferik
628
61k
Transcript
DDoSとの終わりなき戦い 2025 久米拓馬 @takumakume / GMO PEPABO inc. 2025.3.26 3社に聞く、DDoSから学ぶ攻撃事例とその対応
#ROSCAFE
2 自己紹介 GMOペパボ株式会社 ロリポップ・ムームードメイン事業部 CTO 久米拓馬 @takumakume • 2024年10月から事業部CTO •
エンジニア人生はインフラ・SRE領域が長く、日々 現場でDDoSと戦っていた • 趣味は睡眠を確保することです
None
⽬次 • 前提知識:DDoS攻撃パターン • DDoS攻撃防御の⼤原則 • 明⽇からできるDDoS対策 • リスクマネジメント(脅威モデリング‧ASM) •
環境に依存しない⽇頃の対策 • 「ロリポップ!」の構成と事例
前提知識:DDoS攻撃パターン DDoS攻撃はDoS攻撃と⽐較して、送信元が分散しており 正当なリクエストと区別することが難しく対処が困難である。 本セッションを聞いていただく上での前提知識として DDoS攻撃を2つに分類して説明します。
前提知識:DDoS攻撃パターン インフラレイヤ (ボリューム型・プロトコル型) アプリケーションレイヤ 手法 大量のパケットを送信して帯域幅を 枯渇させる。 L3, L4のインターネットプロトコルの 特性を利用してリソースを枯渇させ
る。 L7のアプリケーションレイヤの 特性を利用してリソースを枯渇 させる。 種類 UDP フラッド SYN フラッド … HTTP フラッド SMTP フラッド …
7 DDoS攻撃を防ぐには?
前提知識:DDoS攻撃パターン > DDoS攻撃を防ぐには? CDNを⼊れて、ほぼ無限にスケールできる クラウドインフラストラクチャを使いましょう! 以上、ご清聴ありがとうございました。
前提知識:DDoS攻撃パターン > DDoS攻撃を防ぐには? CDNを⼊れて、ほぼ無限にスケールできる クラウドインフラストラクチャを使いましょう! 以上、ご清聴ありがとうございました。
10 DDoS攻撃防御の大原則
DDoS攻撃防御の⼤原則 • できるだけネットワークの上位で通信を処理 • ⼤容量ネットワークの確保 • アプリケーションの処理性能を上げる • アタックサーフェイスの最⼩化
DDoS攻撃防御の⼤原則 • エッジでのコンテンツ配信(オリジンからのオフロード) • ⼤規模なネットワーク • ⾼性能な攻撃防御ソリューション • リソースのオートスケール、それを⽀える⼤規模インフラ なぜ⼤⼿CDN‧クラウドベンダーがDDoSに強いか
DDoS攻撃防御の⼤原則 > なぜ⼤⼿CDN‧クラウドベンダーがDDoSに強いか 上位ネットワークでいい感じ攻撃を検知して遮断する DDoS攻撃 インターネット 大規模なインフラから得られる情報と、専門知識をもったチームによって開発されたソ リューション 攻撃を検知し遮断
DDoS攻撃防御の⼤原則 > なぜ⼤⼿CDN‧クラウドベンダーがDDoSに強いか インフラレイヤにおけるボリューム型攻撃の耐性において ネットワークの帯域が重要 DDoS攻撃 インターネット この帯域以上の DDoS攻撃は物理的 に耐えられない
フィルタリングをして も上位の回線が埋 まってしまうとサービ ス提供できない
DDoS攻撃防御の⼤原則 > なぜ⼤⼿CDN‧クラウドベンダーがDDoSに強いか アプリケーションがボトルネックになったときに 受け切るスケーラビリティ DDoS攻撃 インターネット 上位ネットワークを通過してくるDDoS攻撃に対応
DDoS攻撃防御の⼤原則 • コストが許容できない • フィルタをバイパスする攻撃が到達 • キャッシュができないコンテンツがある • アプリケーションをスケールできない 現実の問題
17 明日からできる DDoS対策
明⽇からできるDDoS対策 • 脅威モデリング • アタックサーフェイスマネジメント(ASM) リスクマネジメント
明⽇からできるDDoS対策 > リスクマネジメント • システムの潜在的な脆弱性‧リスクを体系的に洗い出し、対策を検討 するプロセス • ⼿順 • DFDでシステムやデータの流れを可視化
• 脅威分類フレームワークで脅威を分類 脅威モデリング
明⽇からできるDDoS対策 > リスクマネジメント > 脅威モデリング DFD(Data Flow Diagram) API Fronte
nd User DB https https mysql https 外部エンティティ プロセス データ ストア データフロー 凡例 信頼境界 外部API システム内外のデータの流れを可視化し、どこに脅威が潜んでいるかを把握しやすくする
明⽇からできるDDoS対策 > リスクマネジメント > 脅威モデリング • STRIDE • S (Spoofing):
なりすまし • T (Tampering): データ改ざん • R (Repudiation): 否認 • I (Information Disclosure): 情報漏えい • D (Denial of Service): サービス拒否 • E (Elevation of Privilege): 特権昇格 脅威分類フレームワーク
明⽇からできるDDoS対策 > リスクマネジメント 脅威モデリング https://speakerdeck.com/mrtc0/cloudnative-days-tokyo-2021-number-cndt2021-number-cndt2021-b
明⽇からできるDDoS対策 > リスクマネジメント • 攻撃者の視点に⽴ち、外部に公開しているIT資産のアタックサーフェ イスを網羅的に把握しリスク評価をする アタックサーフェイスマネジメント(ASM)
明⽇からできるDDoS対策 > リスクマネジメント > アタックサーフェイスマネジメント(ASM) • ペパボでは、独⾃のツールを⽤いて管理下にあるIPアドレスに対して オープンポートを監視している。 オープンポートの監視
明⽇からできるDDoS対策 • パフォーマンスチューニング • 1リクエストで消費するリソースを少なくする • 処理コスト、経済的損失が⼤きいリクエストの成功難易度を上げる • reCAPTCHA •
Rate limit 環境に依存しない⽇頃の対策 上位ネットワークで吸収・遮断しきれないDDoS攻撃は起きる。 対してアプリケーションを無限にスケールするのは攻撃者の思う壺。
明⽇からできるDDoS対策 • インシデントレスポンス体制の整備 • ⼿順の準備 • シミュレーションの実施 環境に依存しない⽇頃の対策 (続)
明⽇からできるDDoS対策 > 環境に依存しない⽇頃の対策 > インシデントレスポンス体制の整備 https://speakerdeck.com/hiboma/yapc-kyoto-2023
明⽇からできるDDoS対策 > 環境に依存しない⽇頃の対策 > インシデントレスポンス体制の整備
29 ロリポップ!の構成と事例
None
〜省略〜
Web site 250万+ Traffic 18Gbps+ Baremetal 1000+ VM 500+ 規模
物理サーバ 1000台+ ・・・ お客様のWebサイト 250万+ オンプレミス データセンター インターネット 構成 平時のトラフィックパターンを学習し
DDoSが 発生した場合に軽減している
物理サーバ 1000台+ ・・・ お客様のWebサイト 250万+ オンプレミス データセンター インターネット コンテンツキャッシュ機能 キャッシュサーバ
できるだけリクエストを オリジンサーバに到達させなため のキャッシュサーバ 需要が高いWordPressに特化した キャッシュ機能を提供
コンテンツキャッシュ機能 https://speakerdeck.com/takumakume/2-million-more-than-the-domain-the-back-of-the-rental-server-content-cache
物理サーバ 1000台+ ・・・ お客様のWebサイト 250万+ オンプレミス データセンター インターネット Blackhole routing
大規模なインフラレイヤのボリューム型攻 撃への対策 特定のIPアドレス向けのトラフィックを すべて破棄しネットワークの 帯域を確保する DDoS攻撃
Blackhole routing https://speakerdeck.com/takumakume/endless-battle-with-ddos-attack
38 まとめ
まとめ • DDoS攻撃は「インフラレイヤ」、「アプリケーションレイヤ」があり対 策⽅法が異なる • DDoS対策はネットワークやリソースのキャパシティが⼤きいほど有利で ある • リスクマネジメント⼿法として「脅威モデリング」「ASM」を紹介した •
ロリポップ!での取り組みとして「コンテンツキャッシュ機能」や 「Blackhole Routing」を紹介した
40 Thank You! Thank You! GMOペパボのエンジニアに興味がある方は @takumakume までご連絡ください! カジュアル面談でもお待ちしております。