攻撃と脅威
DDoS 増幅攻撃
別称: リフレクション DDoS, 増幅攻撃
定義
UDP ベースのサービスを悪用し、偽装したリクエストに対して桁違いに大きな応答を反射させ、小規模な攻撃者でも大量のトラフィックを生成可能にする DDoS 技法。
増幅(リフレクション)型 DDoS 攻撃は、小さな UDP リクエストに対してはるかに大きな応答を返すインターネット上のサービスを悪用します。攻撃者は送信元 IP を被害者のものに偽装してリクエストを送り、反射ホストは大量の応答を被害者へ送り付けます。応答とリクエストのサイズ比である「増幅率」は、NTP MONLIST の数倍から、DNS ANY や SSDP の数十倍、さらには memcached(過去最大級の記録)に至っては数千倍以上にもなります。これにより、比較的小規模なリソースから Tbps 級の攻撃が可能になります。対策には、BCP 38/RFC 2827 に基づく送信元アドレス検証、悪用可能サービスの無効化や制限、反射元側でのレート制御、増幅トラフィックを吸収できる DDoS スクラビングサービスの利用が挙げられます。
例
- 攻撃者が被害者の IP を詐称して数千のオープンリゾルバへ DNS ANY を送り、大量の応答が標的へ集中する。
- インターネットに露出した memcached サーバーが悪用され、5 万倍を超える増幅率の攻撃が行われる。
関連用語
分散型サービス妨害攻撃 (DDoS)
多数の分散した送信元から同時に行うサービス妨害攻撃。通常はボットネットを用い、標的の帯域・インフラ・アプリを圧倒する。
DNS 増幅攻撃
オープンな DNS リゾルバを悪用するリフレクション DDoS。被害者の IP を詐称した小さなクエリで、リゾルバから大きな応答を被害者へ送り付ける。
NTP 増幅攻撃
NTP の MONLIST などのコマンドを悪用したリフレクション DDoS。NTP サーバーから詐称された被害者宛に極めて大きなパケットを返させる。
Smurf 攻撃
送信元 IP を被害者に詐称した ICMP echo をネットワークのブロードキャストアドレスへ送り、ネットワーク上の全ホストに被害者宛応答を返させる古典的な増幅 DDoS。
Fraggle 攻撃
Smurf 攻撃の UDP 版。被害者 IP を詐称した UDP echo / chargen をネットワークのブロードキャストへ送信し、応答する全ホストから被害者にフラッドを浴びせる。
IP スプーフィング
ネットワークパケットの送信元 IP を偽装し、他ホストへのなりすまし、フィルタ回避、DoS 増幅に利用する攻撃。