見出し画像

【AWS】 AWS Shieldの解説

AWS Shield

DDoS攻撃からアプリケーションを保護するためのマネージドサービス。StandardとAdvancedの二つの層がある。

AWS Shield Standard

Standardは無料で提供され、AWSのインフラ全体に対するDDoS攻撃をリアルタイムで検出し、自動的に軽減することで、サービスのダウンタイムを最小限に抑えることができる。このレベルの保護は、レイヤー3(ネットワーク層)およびレイヤー4(トランスポート層)の攻撃に対して有効であり、AWSの全てのユーザーが利用可能。

Shield Standardは自動で有効化されているから、特に設定をしなくても、AWSの全てのサービスは基本的なDDoS保護を受けることができる。


AWS Shield Advanced

Advancedは有料で、包括的なDDoS保護、コスト保護、アクセス制御、セキュリティ専門家によるサポートが含まれる。Advancedでは、レイヤー3およびレイヤー4に加え、レイヤー7(アプリケーション層)の攻撃にも対応する。さらに、CloudWatchメトリクスやアラートを利用した詳細なモニタリングとアラート機能により、攻撃の影響をリアルタイムで監視し、迅速な対応が可能となる。


DDoS攻撃の例

SYN フラッド攻撃

ネットワーク層(レイヤー3)およびトランスポート層(レイヤー4)で発生するDDoS攻撃の一種。この攻撃は、TCPの接続確立プロセスを悪用する。

  1. TCPハンドシェイクの概要:

    • 通常、クライアントとサーバー間のTCP接続は、3ウェイハンドシェイクと呼ばれるプロセスを通じて確立される。クライアントがサーバーにSYNパケットを送信し、サーバーがSYN-ACKで応答し、最後にクライアントがACKを送信して接続が確立される。

  2. 攻撃の仕組み:

    • 攻撃者は、短時間に大量のSYNパケットをターゲットサーバーに送りつけるが、サーバーからのSYN-ACK応答には応答しないか、偽のIPアドレスを使用して応答を受け取れないようにする。これにより、サーバーは半開きのTCP接続を維持しようとしてリソースを消費し続け、最終的に新しい正規の接続を処理できなくなる。

  3. 影響:

    • サーバーのリソース(メモリやCPU)が枯渇し、サービスが停止したり、正規のユーザーが接続できなくなったりする。

UDP フラッド攻撃

ユーザーデータグラムプロトコル(UDP)を利用したDDoS攻撃。これは、ネットワーク層(レイヤー3)およびトランスポート層(レイヤー4)で発生する。

  1. UDPの概要:

    • UDPは、TCPとは異なり、接続確立のためのハンドシェイクがなく、軽量で迅速な通信が可能。しかし、信頼性や順序保証がないため、リアルタイムアプリケーションやストリーミングに適している。

  2. 攻撃の仕組み:

    • 攻撃者は大量のUDPパケットをターゲットのランダムなポートに送りつける。受信側のサーバーは、これらのパケットを処理し、応答するためにリソースを消費する。

  3. 影響:

    • サーバーの帯域幅や処理能力が枯渇し、正規のトラフィックが処理されず、サービスが停止する。UDPフラッド攻撃は、帯域幅の消費によりネットワーク全体にも影響を及ぼすことがある。

キャッシュバスティング攻撃

キャッシュバスティング攻撃では、攻撃者がHTTPリクエストに意図的に変更を加え、Webサーバーに対してキャッシュされないユニークなリクエストを大量に送信する。
これにより、通常キャッシュされるはずのコンテンツがキャッシュされず、全てのリクエストがバックエンドサーバーに到達することになる。

  1. URLの変更:

    • リクエストURLに無意味なパラメータを追加する。例えば、example.com/resourceがキャッシュされている場合、攻撃者はexample.com/resource?random=12345のようにユニークなクエリパラメータを追加して送信する。

  2. ヘッダーの変更:

    • HTTPヘッダーを変更して、キャッシュをバイパスする。例えば、User-AgentやAccept-Languageヘッダーを変更する。

  3. Cookieの操作:

    • リクエストに無意味なCookieを追加することで、キャッシュのヒット率を低下させる。














いいなと思ったら応援しよう!

Ken @ インフラエンジニア
よろしければサポートお願いします!よりいい情報を発信します。