Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
DDoSとの終わりなき戦い2025/endless_battle_with_ddos_atta...
Search
Takuma Kume
March 25, 2025
Technology
2
79
DDoSとの終わりなき戦い2025/endless_battle_with_ddos_attack_2025
3社に聞く、DDoSから学ぶ攻撃事例とその対応
https://rosca.connpass.com/event/345972/
#ROSCAFE
Takuma Kume
March 25, 2025
Tweet
Share
More Decks by Takuma Kume
See All by Takuma Kume
【新卒研修】共通言語としてのSRE/SRE as a common language
takumakume
0
77
事業部CTOの現在地(パネルディスカッション)/Current-location-of-Division-CTO
takumakume
0
75
ロリポップ! for Gamersを支えるインフラ/lolipop for gamers infrastructure
takumakume
0
710
ロリポップ! for Gamersの立ち上げ/lolipop for gamers launch
takumakume
0
2.2k
ホモグラフドメインを検出してみた/detect homograph domain
takumakume
0
540
ソフトウェアの継続的アップデートをコンテナ化によって加速させる/Accelerate continuous software updates with containerization
takumakume
0
5k
KubernetesにおけるSBOMを利用した脆弱性管理/Vulnerability_Management_with_SBOM_in_Kubernetes
takumakume
1
2.3k
ホスティング事業におけるSREの取り組みと面白さ/SRE Efforts in the Hosting Business and the Interest of SRE
takumakume
1
2.7k
GitOpsで実現するPull Request毎のプレビュー環境/Preview environment for each Pull Request by GitOps
takumakume
0
1.7k
Other Decks in Technology
See All in Technology
ElixirがHW化され、最新CPU/GPU/NWを過去のものとする数万倍、高速+超省電力化されたWeb/動画配信/AIが動く日
piacerex
0
110
改めて学ぶ Trait の使い方 / phpcon odawara 2025
meihei3
1
580
MCPを活用した検索システムの作り方/How to implement search systems with MCP #catalks
quiver
6
1.8k
テキスト解析で見る PyCon APAC 2025 セッション&スピーカートレンド分析
negi111111
0
280
アジャイル脅威モデリング#1(脅威モデリングナイト#8)
masakane55
3
170
20250411_HCCJP_AdaptiveCloudUpdates.pdf
sdosamut
1
100
Amazon CloudWatch Application Signals ではじめるバーンレートアラーム / Burn rate alarm with Amazon CloudWatch Application Signals
ymotongpoo
5
320
技術者はかっこいいものだ!!~キルラキルから学んだエンジニアの生き方~
masakiokuda
2
160
低レイヤを知りたいPHPerのためのCコンパイラ作成入門 / Building a C Compiler for PHPers Who Want to Dive into Low-Level Programming
tomzoh
0
210
Amazon S3 Tables + Amazon Athena / Apache Iceberg
okaru
0
250
はてなの開発20年史と DevOpsの歩み / DevOpsDays Tokyo 2025 Keynote
daiksy
5
1.4k
AIと開発者の共創: エージェント時代におけるAIフレンドリーなDevOpsの実践
bicstone
1
250
Featured
See All Featured
[RailsConf 2023] Rails as a piece of cake
palkan
54
5.4k
Fontdeck: Realign not Redesign
paulrobertlloyd
83
5.5k
Thoughts on Productivity
jonyablonski
69
4.6k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
45
7.2k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
9
740
Put a Button on it: Removing Barriers to Going Fast.
kastner
60
3.8k
Imperfection Machines: The Place of Print at Facebook
scottboms
267
13k
Fireside Chat
paigeccino
37
3.4k
What’s in a name? Adding method to the madness
productmarketing
PRO
22
3.4k
Practical Orchestrator
shlominoach
186
10k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
280
13k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
367
26k
Transcript
DDoSとの終わりなき戦い 2025 久米拓馬 @takumakume / GMO PEPABO inc. 2025.3.26 3社に聞く、DDoSから学ぶ攻撃事例とその対応
#ROSCAFE
2 自己紹介 GMOペパボ株式会社 ロリポップ・ムームードメイン事業部 CTO 久米拓馬 @takumakume • 2024年10月から事業部CTO •
エンジニア人生はインフラ・SRE領域が長く、日々 現場でDDoSと戦っていた • 趣味は睡眠を確保することです
None
⽬次 • 前提知識:DDoS攻撃パターン • DDoS攻撃防御の⼤原則 • 明⽇からできるDDoS対策 • リスクマネジメント(脅威モデリング‧ASM) •
環境に依存しない⽇頃の対策 • 「ロリポップ!」の構成と事例
前提知識:DDoS攻撃パターン DDoS攻撃はDoS攻撃と⽐較して、送信元が分散しており 正当なリクエストと区別することが難しく対処が困難である。 本セッションを聞いていただく上での前提知識として DDoS攻撃を2つに分類して説明します。
前提知識:DDoS攻撃パターン インフラレイヤ (ボリューム型・プロトコル型) アプリケーションレイヤ 手法 大量のパケットを送信して帯域幅を 枯渇させる。 L3, L4のインターネットプロトコルの 特性を利用してリソースを枯渇させ
る。 L7のアプリケーションレイヤの 特性を利用してリソースを枯渇 させる。 種類 UDP フラッド SYN フラッド … HTTP フラッド SMTP フラッド …
7 DDoS攻撃を防ぐには?
前提知識:DDoS攻撃パターン > DDoS攻撃を防ぐには? CDNを⼊れて、ほぼ無限にスケールできる クラウドインフラストラクチャを使いましょう! 以上、ご清聴ありがとうございました。
前提知識:DDoS攻撃パターン > DDoS攻撃を防ぐには? CDNを⼊れて、ほぼ無限にスケールできる クラウドインフラストラクチャを使いましょう! 以上、ご清聴ありがとうございました。
10 DDoS攻撃防御の大原則
DDoS攻撃防御の⼤原則 • できるだけネットワークの上位で通信を処理 • ⼤容量ネットワークの確保 • アプリケーションの処理性能を上げる • アタックサーフェイスの最⼩化
DDoS攻撃防御の⼤原則 • エッジでのコンテンツ配信(オリジンからのオフロード) • ⼤規模なネットワーク • ⾼性能な攻撃防御ソリューション • リソースのオートスケール、それを⽀える⼤規模インフラ なぜ⼤⼿CDN‧クラウドベンダーがDDoSに強いか
DDoS攻撃防御の⼤原則 > なぜ⼤⼿CDN‧クラウドベンダーがDDoSに強いか 上位ネットワークでいい感じ攻撃を検知して遮断する DDoS攻撃 インターネット 大規模なインフラから得られる情報と、専門知識をもったチームによって開発されたソ リューション 攻撃を検知し遮断
DDoS攻撃防御の⼤原則 > なぜ⼤⼿CDN‧クラウドベンダーがDDoSに強いか インフラレイヤにおけるボリューム型攻撃の耐性において ネットワークの帯域が重要 DDoS攻撃 インターネット この帯域以上の DDoS攻撃は物理的 に耐えられない
フィルタリングをして も上位の回線が埋 まってしまうとサービ ス提供できない
DDoS攻撃防御の⼤原則 > なぜ⼤⼿CDN‧クラウドベンダーがDDoSに強いか アプリケーションがボトルネックになったときに 受け切るスケーラビリティ DDoS攻撃 インターネット 上位ネットワークを通過してくるDDoS攻撃に対応
DDoS攻撃防御の⼤原則 • コストが許容できない • フィルタをバイパスする攻撃が到達 • キャッシュができないコンテンツがある • アプリケーションをスケールできない 現実の問題
17 明日からできる DDoS対策
明⽇からできるDDoS対策 • 脅威モデリング • アタックサーフェイスマネジメント(ASM) リスクマネジメント
明⽇からできるDDoS対策 > リスクマネジメント • システムの潜在的な脆弱性‧リスクを体系的に洗い出し、対策を検討 するプロセス • ⼿順 • DFDでシステムやデータの流れを可視化
• 脅威分類フレームワークで脅威を分類 脅威モデリング
明⽇からできるDDoS対策 > リスクマネジメント > 脅威モデリング DFD(Data Flow Diagram) API Fronte
nd User DB https https mysql https 外部エンティティ プロセス データ ストア データフロー 凡例 信頼境界 外部API システム内外のデータの流れを可視化し、どこに脅威が潜んでいるかを把握しやすくする
明⽇からできるDDoS対策 > リスクマネジメント > 脅威モデリング • STRIDE • S (Spoofing):
なりすまし • T (Tampering): データ改ざん • R (Repudiation): 否認 • I (Information Disclosure): 情報漏えい • D (Denial of Service): サービス拒否 • E (Elevation of Privilege): 特権昇格 脅威分類フレームワーク
明⽇からできるDDoS対策 > リスクマネジメント 脅威モデリング https://speakerdeck.com/mrtc0/cloudnative-days-tokyo-2021-number-cndt2021-number-cndt2021-b
明⽇からできるDDoS対策 > リスクマネジメント • 攻撃者の視点に⽴ち、外部に公開しているIT資産のアタックサーフェ イスを網羅的に把握しリスク評価をする アタックサーフェイスマネジメント(ASM)
明⽇からできるDDoS対策 > リスクマネジメント > アタックサーフェイスマネジメント(ASM) • ペパボでは、独⾃のツールを⽤いて管理下にあるIPアドレスに対して オープンポートを監視している。 オープンポートの監視
明⽇からできるDDoS対策 • パフォーマンスチューニング • 1リクエストで消費するリソースを少なくする • 処理コスト、経済的損失が⼤きいリクエストの成功難易度を上げる • reCAPTCHA •
Rate limit 環境に依存しない⽇頃の対策 上位ネットワークで吸収・遮断しきれないDDoS攻撃は起きる。 対してアプリケーションを無限にスケールするのは攻撃者の思う壺。
明⽇からできるDDoS対策 • インシデントレスポンス体制の整備 • ⼿順の準備 • シミュレーションの実施 環境に依存しない⽇頃の対策 (続)
明⽇からできるDDoS対策 > 環境に依存しない⽇頃の対策 > インシデントレスポンス体制の整備 https://speakerdeck.com/hiboma/yapc-kyoto-2023
明⽇からできるDDoS対策 > 環境に依存しない⽇頃の対策 > インシデントレスポンス体制の整備
29 ロリポップ!の構成と事例
None
〜省略〜
Web site 250万+ Traffic 18Gbps+ Baremetal 1000+ VM 500+ 規模
物理サーバ 1000台+ ・・・ お客様のWebサイト 250万+ オンプレミス データセンター インターネット 構成 平時のトラフィックパターンを学習し
DDoSが 発生した場合に軽減している
物理サーバ 1000台+ ・・・ お客様のWebサイト 250万+ オンプレミス データセンター インターネット コンテンツキャッシュ機能 キャッシュサーバ
できるだけリクエストを オリジンサーバに到達させなため のキャッシュサーバ 需要が高いWordPressに特化した キャッシュ機能を提供
コンテンツキャッシュ機能 https://speakerdeck.com/takumakume/2-million-more-than-the-domain-the-back-of-the-rental-server-content-cache
物理サーバ 1000台+ ・・・ お客様のWebサイト 250万+ オンプレミス データセンター インターネット Blackhole routing
大規模なインフラレイヤのボリューム型攻 撃への対策 特定のIPアドレス向けのトラフィックを すべて破棄しネットワークの 帯域を確保する DDoS攻撃
Blackhole routing https://speakerdeck.com/takumakume/endless-battle-with-ddos-attack
38 まとめ
まとめ • DDoS攻撃は「インフラレイヤ」、「アプリケーションレイヤ」があり対 策⽅法が異なる • DDoS対策はネットワークやリソースのキャパシティが⼤きいほど有利で ある • リスクマネジメント⼿法として「脅威モデリング」「ASM」を紹介した •
ロリポップ!での取り組みとして「コンテンツキャッシュ機能」や 「Blackhole Routing」を紹介した
40 Thank You! Thank You! GMOペパボのエンジニアに興味がある方は @takumakume までご連絡ください! カジュアル面談でもお待ちしております。