DoS/DDoS攻撃の概要と一般的な緩和対策 - 【AWS 初心者向け Webinar】 AWS 上での DDoS 対策によせて
AWS テクニカルトレーナーの江川(@daiti0804)です。
明日(2/9)12:00より、「【AWS 初心者向け Webinar】 AWS 上での DDoS 対策」が放送されます。
-
日時:2016年2月9日(火) 12:00-13:00
-
セミナー概要:
- AWS に限らず、インターネット上のサービスやシステムは様々な脅威や攻撃にさらされています。 DDoS(distributed denial of service attack)攻撃は、広く利用されている攻撃手法であり、AWS 上のシステムも攻撃対象となる場合があります。本 Webinar では、AWS 上のシステムに対する DDoS 攻撃に対して、AWS のサービスを用いてどのように被害を低減することができるかを紹介します。AWS のセキュリティに携わることになった方、AWS セキュリティの考え方に興味のある方々はぜひご参加ください。
- 詳細・参加お申込み
本 Webinar では、時間の都合もあり、"AWS 上"での DDoS 緩和手法を中心にお話します。ただし、その前提として、DDoS 攻撃とはどういったものか、DDoS 攻撃によって引き起こされる被害、DDoS 攻撃手法について知っておくことにより、理解が深まりますので、本ブログで紹介できればと思います。
DoS/DDoS攻撃とは
DoS 攻撃は、ウェブサイトやアプリケーションをエンドユーザーが利用できないようにすることを目的とした攻撃です。攻撃者は、これを行うために、ネットワークやその他のリソースを消費するさまざまな手法を用いて、正規のエンドユーザーのアクセスを中断させます。 DDoS 攻撃も、その目的はおなじです。DDoS 攻撃は、日本語で「分散型サービス妨害」と呼ばれるように、攻撃者は分散された複数のシステムを使用して標的に対する攻撃行います。
DoS/DDoS 攻撃によって引き起こされる被害
DDoS 攻撃によって引き起こされる事態は端的に言うと、その目的通り、攻撃を受けた「ウェブサイトやアプリケーションをエンドユーザーが利用できない」状態になることです。それにより引き起こされる被害は、IPAの「サービス妨害攻撃の対策等調査 - 報告書 -」によると、下記の表の通りです。
被害額の性質 | 被害内容 | |
一次的被害(直接的) | 二次的被害(間接的) | |
攻撃により |
・システム復旧に要するコスト |
・システム復旧以外の対応コスト ・取引先への補償等 |
攻撃により 得られなかった収入 |
・Web サービスや Web サービスの 広告等の収入 | ・風評被害 |
簡単に上記の被害を説明すると、下記の通りです。
- 一次的被害
- Web サービスや Web サービスの 広告等の収入:機会損失による逸失売上です。攻撃をうけなければ本来得ることが出来た売上がその被害額にあたります。
- システム復旧に要するコスト:攻撃後、攻撃を受けたサービスを復旧させるためのコストです。例えば、この中には復旧に当たった社員の人件費などが上げられます。
- 二次的被害
- システム復旧以外の対応コスト:サービス停止後に行うべき対応策にかかるコストです。例えば、攻撃を受けた事自体を周知したり、謝罪したりすることにかかるコストがあげられます。
- 取引先への補償等:システムの提供先やエンドユーザーになんらかの補償をする場合にかかるコストです。
- 風評被害:サービス停止の事実が明らかになったことによる企業ブランドイメージの悪化などの二次的な被害です。これにより、さらなる売上減、顧客減、さらには株価の低下などが引き起こされます。
- 上記にはあげられていないですが、DDoS攻撃によって、サーバ侵入など背後で行われている攻撃が見えにくくなるなども二次的な被害として考えられます。
DDoS攻撃の種類
DDoS攻撃には様々な種類のものがあります。下記のスライドは、2015年のAWS re:Inventで行われた"(SEC306) Defending Against DDoS Attacks"のセッションからの1枚です。本スライドにある通り、OSI参照モデルにおけるどの層(Layer)をターゲットにするかで大きく3つに攻撃の種類を分けられます。加えて、各攻撃ごとにとるべき対策が変わってきます。
- Volumetric DDoS attacks:主にネットワーク層を狙う攻撃です。ネットワークで処理不可能なくらいの大量のパケットを送信し、ネットワークを混雑させます。代表的な攻撃として、UDP増幅攻撃が上げられます。DDoS攻撃の内の約65%を占めます。
- State-exhaustion DDoS attacks:主にトランスポート層を狙う攻撃です。ファイアウォール、IPS, ロードバランサーなどのシステムリソースを消費させる攻撃です。代表的な攻撃として、SYN Flood 攻撃があげられます。DDoS攻撃の内の約20%を占めます。
- Application layer DDoS attacks:通常のアクセスのように装い、L3,L4レベルのDDoS緩和手法をかいくぐってアプリケーションリソースを消費させます。DDoS攻撃の内の約15%を占めます。代表的な攻撃として、HTTP GET Flood攻撃が上げられます。
DDoS攻撃に対する一般的な対策方針、緩和手法
ここで上記の攻撃に対して、どのように対策すべきかをAWS上に限らず、一般的な観点で考えていきます。一般的な観点といっても、AWSから出されているホワイトペーパー、DDoS に対する AWS のベストプラクティスが役に立ちます。
上記のホワイトペーパーでは、以下の5つのベストプラクティスを紹介しています。
- 攻撃対象領域を削減する
- スケールして攻撃を吸収できるようにする
- 公開されたリソースを保護する
- 通常時の動作について学習する
- 攻撃に対する計画を作成する
それぞれの詳細やAWS上でどのように実現するかは、ホワイトペーパー自体を読んだり、明日のWebinarで視聴したりしていただければと思います。ここでは、先ほど紹介した攻撃に対して、一般的にどのように対策していくのかを中心にお話します。
DDoS 攻撃全般に共通してとるべき対策
どのような攻撃に対しても下記のベストプラクティスをとることが重要です。
- 通常時の動作について学習する
- 攻撃に対する計画を作成する
通常時の動作について学習する
なぜこのベストプラクティスが必要かというと、「攻撃を受けたことを即座に、正確に判断するため」です。通常時、システムがどのように振る舞うかを把握しておかなければ、そのシステムが異常な状態になっているかどうか、攻撃を受けているかどうかを判断できません。そのために、普段からシステムを監視しておく必要があります。
攻撃に対する計画を作成する
なぜこのベストプラクティスが必要かというと、「攻撃を受けた際に、即座に最適な対応をするため」です。攻撃されているときに対応戦略を立てても、効果は期待できません。攻撃される前に対応を計画することで、有効な手段の選択、今すべきことの判断をしやすくなります。
Volumetric DDoS attacks/State-exhaustion DDoS attacksに対する対策
Volumetric DDoS attacks, State-exhaustion DDoS attacksに対する対策としては、以下の2つが特に重要です。
- 攻撃対象領域を削減する
- スケールして攻撃を吸収できるようにする
この2つの攻撃の特徴は、とにかく数で勝負するという所です。ですので、「攻撃を受ける面を削減する」、もしくは「防御のためのリソースを拡大する」ことが対策になります。
攻撃対象領域を削減する
このベストプラクティスは、「攻撃を受ける面を削減する」という考え方です。攻撃者が、そのターゲットを選択する際のポイントの1つに、攻撃対象が露出されているかどうかがあげられます。ですので、攻撃者の見えるところに極力サーバを配置しないというのがこのベストプラクティスにおける戦略です。例えば、ファイアウォールなどを使用して機械的にパケットが届かないようにする、攻撃者がアクセス可能なインターネットに面する場所へのサーバ配置をさけるなどの対策をとることができます。
スケールして攻撃を吸収できるようにする
このベストプラクティスは、「防御のためのリソースを拡大する」という考え方です。攻撃をされても、それを吸収できるだけのサーバが用意されていれば、システムに与える影響を少なくすることができます。サーバをあらかじめオーバープロビジョニングする、スケールアウトさせるなどをすることで、本ベストプラクティスが実現できます。
Application layer DDoS attacksに対する対策
Application layer DDoS attacksに対しては、今まであげた対策に加えて、「公開されたリソースを保護する」手法が重要になります。
公開されたリソースを保護する
Application layer DDoS attacks は、正常な通信を装ってアクセスしてくるので、通常のファイアウォールでは防ぐことが出来ません(例えば、正常なユーザーにHTTPでアクセスしたい場合、ファイアウォールではHTTPを許可する必要があります。この場合、Application layer DDoS attacksでは、HTTPプロトコルを使ってアクセスして来るので、ファイアウォールでは攻撃者と正常なユーザーを見分けることができないのです)。そこで、インターネット上に公開されているリソースには、別途防御のための対策をうつ必要があります。その代表的な例として、ウェブアプリケーションファイアウォール(Web Application Firewall, WAF)が、よく用いられます。ウェブトラフィックにルールセットを適用するフィルターとして機能し、アプリケーション層レベルで通信内容を確認することで、攻撃だと判断すれば、その通信を遮断します。
さいごに
以上が、DDoS攻撃の概要、種類、一般的な対策でしたが、いかがでしょうか?セキュリティ対策は非常に重要ですが、セキュリティ対策をするためのセキュリティ対策になってはいけません。システム運営者にとっての脅威やそれによる被害を認識して初めて、とるべき対策が判断できます。皆様にとっての脅威の認識に本ブログが役立てば幸いです。
そして、こういった対策をAWS上でどう行うべきかについては、ぜひ明日のWebinarにて学んでいただければと思います。
(Webinar後には、Webinarで利用したスライドなどを載せるように追記したいと思っています。)
-
日時:2016年2月9日(火) 12:00-13:00
-
セミナー概要:
- AWS に限らず、インターネット上のサービスやシステムは様々な脅威や攻撃にさらされています。 DDoS(distributed denial of service attack)攻撃は、広く利用されている攻撃手法であり、AWS 上のシステムも攻撃対象となる場合があります。本 Webinar では、AWS 上のシステムに対する DDoS 攻撃に対して、AWS のサービスを用いてどのように被害を低減することができるかを紹介します。AWS のセキュリティに携わることになった方、AWS セキュリティの考え方に興味のある方々はぜひご参加ください。
- 詳細・参加お申込み
--------------
(2016/2/15(月)追記)
上記Webinarの資料がアップロードされました。ぜひご覧下さい。
(追記ここまで)
----------------------------------
- 江川
コメント