攻撃と脅威
Smurf 攻撃
定義
送信元 IP を被害者に詐称した ICMP echo をネットワークのブロードキャストアドレスへ送り、ネットワーク上の全ホストに被害者宛応答を返させる古典的な増幅 DDoS。
Smurf 攻撃では、攻撃者は ICMP echo-request(ping)を 1 つ以上のネットワークの directed broadcast 宛に送り、送信元 IP を被害者に詐称します。これらのネットワーク上の全ホストが被害者へ echo 応答を返すため、小さな攻撃流量が応答ホスト数だけ増幅されます。1990 年代のように directed broadcast が広く有効だった時代のインターネットでは非常に効果的でした。対策はシンプルですが業界全体での導入が必要でした:Cisco の no ip directed-broadcast や RFC 2644 のデフォルト挙動による IP directed broadcast の無効化、BCP 38 に基づく入口での送信元アドレスフィルタリング、境界での ICMP レート制御です。現代のデフォルトでは概ね歴史的存在ですが、ブロードキャスト/マルチキャスト悪用は今でも繰り返し現れます。
例
- 攻撃者が被害者 IP を詐称し、多数の遠隔 /24 ネットワークの broadcast 宛に ping を打ち、各ネットワークで攻撃が増幅される。
- ペネトレーションテストで directed broadcast を許可したままの社内ルーターが見つかり、内部での Smurf 風フラッドが可能だと判明する。
関連用語
DDoS 増幅攻撃
UDP ベースのサービスを悪用し、偽装したリクエストに対して桁違いに大きな応答を反射させ、小規模な攻撃者でも大量のトラフィックを生成可能にする DDoS 技法。
分散型サービス妨害攻撃 (DDoS)
多数の分散した送信元から同時に行うサービス妨害攻撃。通常はボットネットを用い、標的の帯域・インフラ・アプリを圧倒する。
Fraggle 攻撃
Smurf 攻撃の UDP 版。被害者 IP を詐称した UDP echo / chargen をネットワークのブロードキャストへ送信し、応答する全ホストから被害者にフラッドを浴びせる。
IP スプーフィング
ネットワークパケットの送信元 IP を偽装し、他ホストへのなりすまし、フィルタ回避、DoS 増幅に利用する攻撃。
DNS 増幅攻撃
オープンな DNS リゾルバを悪用するリフレクション DDoS。被害者の IP を詐称した小さなクエリで、リゾルバから大きな応答を被害者へ送り付ける。
サービス妨害攻撃 (DoS)
システムの帯域・処理能力・メモリ・アプリケーション資源を枯渇させ、正当な利用者がサービスを利用できなくする攻撃。