Upgrade to Pro — share decks privately, control downloads, hide ads and more …

DDoS対策 ~監視、分析、対策~

muratak
March 25, 2025
2
63

DDoS対策 ~監視、分析、対策~

このスライドはRosCafe社にホストされた
2025/3/26開催「3社に聞く、DDoSから学ぶ攻撃事例とその対応 」
で著者が発表したDDoS対策 ~監視、分析、対策~のスライド資料になります

muratak

March 25, 2025
Tweet

More Decks by muratak

See All by muratak
Why Hono なぜHonoを使うべきなのか
tresagua0123
6
1k
大規模な美容メディアのフロントエンドを支えるサーバー技術
tresagua0123
0
19
バッチシステムのリプレース ~オンプレ/PHP->AWS/TypeScriptで実現する大規模バッチの新規設計、構築~
tresagua0123
0
12
Next.jsのセキュリティ設計とアーキテクチャ
tresagua0123
4
2.9k

Featured

See All Featured
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
31
4.7k
Fashionably flexible responsive web design (full day workshop)
malarkey
407
66k
The Art of Programming - Codeland 2020
erikaheidi
53
13k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
46
2.4k
The Pragmatic Product Professional
lauravandoore
33
6.5k
Code Review Best Practice
trishagee
67
18k
Building Flexible Design Systems
yeseniaperezcruz
328
38k
Why You Should Never Use an ORM
jnunemaker
PRO
55
9.3k
Automating Front-end Workflow
addyosmani
1369
200k
The Invisible Side of Design
smashingmag
299
50k
YesSQL, Process and Tooling at Scale
rocio
172
14k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
160
15k

Transcript

  1.  DDoS対策~監視、分析、対策~ 3社に聞く、DDoSから学ぶ攻撃事例とその対応 muratak qiita: https://qiita.com/muratak-dev

  2. 私について ・@cosme、ブランド分析ツールの開発エンジニア 主な経験 (セキュリティ、DDoSに関連しそうな部分中心 ・@cosmeのインフラ再構築、負荷試験、負荷対策 ・@cosmeのTOP認証、ブランド分析系ツール認証再実装

  3. @cosme TOP ・2024年に25周年を迎え TOPページもリニューアル

  4. Brand Offical ・ToCだけでなくBrand OfficialなどのToBも認証系を含めリプレース Brand Official

  5. 基礎編) DDoSの知識 1. そもそもDDoS攻撃とは? 2. DDoS攻撃の種類 3. AWSでの複合対策

  6. 1. そもそもDDoS攻撃とは? ・複数のコンピュータから大量リクエストを送りつける手法 ・サーバーの負荷が圧迫してしまうので監視、分析、対策を行う

  7. 1. 2 そもそもDDoS攻撃とは? ・DDoSはサーバーの 負荷圧迫につながる ・Bot Reqsは専用サーバー に振り分けが古典的な 対策例。より前座で、 もっと多面的に、

    検知対策できないか?

  8. 2. DDoS攻撃の種類 ・インフラ層攻撃(L6以下への攻撃) - UDP reflection attacts - SYN flood

    attacks - TCP middlebox reflection ・アプリケーション層攻撃(L7への攻撃)

  9. SYN flood attacks ・TCP接続における ハンドシェイクプロセスの悪用 ・SYNパケットの大量送信 Sol: AWS Standard Shield

    etc

  10. UDP reflection attacts ・UDPはTCPと違って ハンドシェイクが不要 ・送信元のIPを偽装できる → UDPパケットの大量送信 Sol: AWS

    Standard Shield etc https://docs.aws.amazon.com/whitepapers/latest/aws-best-practices-ddos-resiliency/udp-reflection-attacks.html

  11. TCP middlebox reflection ・比較的新しい攻撃として知られる (2021年 ~ ・中継地点に偽装SYN-ACKパケットを送信してRSTパケットの大量返却を狙う Sol: AWS Advanced

    Shield etc

  12. 3. AWSでの複合対策 AWS Shield Standard AWS Shield Advanced ALB, CloudFront,

    WAF など 複数観点での対策を行うことができる → 今回はWAFでの対策について「対策編」で深掘り

  13. 対策編) DDoSへの対策 1. 監視 2. 分析 3. 対策

  14. 1. 監視 アクセスパターンの監視を行う 監視項目) ・BadBots_Header ・NoUserAgent_Header ・SQLi_QUERYARGUMENTS, SQLi_COOKIE など多様な観点から監視を行う

  15. 1.2 監視ダッシュボード例 監視したい項目の推移が時系列グラフでわかるような感じであると便利 New Relicでの設定例 )

  16. 2. 分析 監視しておいたデータから攻撃傾向の分析 分析の考え方) ・攻撃を目的としたリクエストにはどういう傾向があるか? ・例えばHeader, Cookie, Queryなどから不審なパターンを判断 → パターンがわかるとブロック導入を行うべき対象が明らかになる

  17. 3.1 対策 2. 分析でみた攻撃傾向からDDoSの対策を行う 対策の考え方) ・ブロックすべきでないものをブロックせず、 ブロックすべきものを確実にブロックできているか? 例えば、SEOに関わるクローラーはブロックせず、 確実に攻撃と見なされたものをブロックするようにする

  18. 3.2 対策 ・例えば、bot(攻撃元)のパターンが分析できたら、 それらに対してRate Limitingをかける ・AWS Rate-based rules を使って特定のものをブロックする -

    Source IP Address - IP address in Header - Custom Keys ・クローラー系botをブロック しないように注意!(SEOのため Custom Keys

  19. DDoSまとめ ・まず知識!代表的な攻撃を知っておく SYN Flood, UCP Reflection, TCP Middle Box Reflection

    ・監視 -> 分析 -> 対策の順で実行 怪しい通信を監視して攻撃傾向を見つけてパターンブロック