攻撃と脅威
NTP 増幅攻撃
定義
NTP の MONLIST などのコマンドを悪用したリフレクション DDoS。NTP サーバーから詐称された被害者宛に極めて大きなパケットを返させる。
NTP 増幅攻撃は、設定不備の Network Time Protocol サーバーが制御問い合わせ(歴史的には ntpd 4.2.7 未満の MONLIST)に対し、最大 600 件分の最近のクライアント情報を返してしまう挙動を悪用します。送信元 IP を被害者に詐称した小さな MONLIST 問い合わせを送ると、約 200〜500 倍の応答パケットが被害者へ反射されます。この手法は 2016 年以前に当時最大級の DDoS 攻撃をいくつも生み出しました。対策には、ntpd の更新、MONLIST など制御コマンドの制限(ntp.conf の "noquery"/"limited")、BCP 38 に基づく送信元検証、NTP 応答のレート制御、DDoS スクラビングの利用などがあります。広く知られていても、脆弱な NTP サーバーは依然としてスキャンで見つかります。
例
- 攻撃者が被害者 IP を詐称した小さな MONLIST を送信し、サーバーが数 KB の監視情報を被害者へ返す。
- 数百台のパブリック NTP サーバーを並行して悪用し、数百 Gbps の反射トラフィックを標的に集中させる。
関連用語
DDoS 増幅攻撃
UDP ベースのサービスを悪用し、偽装したリクエストに対して桁違いに大きな応答を反射させ、小規模な攻撃者でも大量のトラフィックを生成可能にする DDoS 技法。
分散型サービス妨害攻撃 (DDoS)
多数の分散した送信元から同時に行うサービス妨害攻撃。通常はボットネットを用い、標的の帯域・インフラ・アプリを圧倒する。
DNS 増幅攻撃
オープンな DNS リゾルバを悪用するリフレクション DDoS。被害者の IP を詐称した小さなクエリで、リゾルバから大きな応答を被害者へ送り付ける。
IP スプーフィング
ネットワークパケットの送信元 IP を偽装し、他ホストへのなりすまし、フィルタ回避、DoS 増幅に利用する攻撃。
Smurf 攻撃
送信元 IP を被害者に詐称した ICMP echo をネットワークのブロードキャストアドレスへ送り、ネットワーク上の全ホストに被害者宛応答を返させる古典的な増幅 DDoS。
Fraggle 攻撃
Smurf 攻撃の UDP 版。被害者 IP を詐称した UDP echo / chargen をネットワークのブロードキャストへ送信し、応答する全ホストから被害者にフラッドを浴びせる。