What is IP spoofing?

偽造ソースアドレスの偽装IPパケットは、検出されることを回避するために攻撃でよく用いられます。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • IPスプーフィングの定義
  • DDoS攻撃におけるIPスプーフィングの利用方法に関する説明
  • IPスプーフィングの防御方法の説明

記事のリンクをコピーする

IPスプーフィングとは?

IPスプーフィングとは、送信者の身元を隠す、別のコンピューターシステムになりすます、またはその両方を行うためにソースアドレスを変更したインターネットプロトコル(IP)パケットを作成することです。多くの場合、ターゲットデバイスまたは周囲のインフラストラクチャに対してDDoS攻撃を仕掛ける悪人によって使用される手法です。

IPパケットの送受信は、ネットワーク化されたコンピューターがほかのデバイスと通信するための主な方法であり、現代のインターネットの基礎となるものです。すべてのIPパケットには、パケットの本体の前にあり、ソースアドレスを含む、重要なルーティング情報が入れられたヘッダーが含まれています。正常なパケットでは、ソースIPアドレスは、パケットの送信者のアドレスです。パケットが詐称されている場合、ソースアドレスは偽造されています。

DDoS攻撃におけるIPスプーフィング

IPスプーフィングは、犯罪者が偽の差出人住所を使用して誰かに小包を送るようなものです。小包の受取人が小包の発送を止めたい場合、偽の住所から配送される小包をすべて受け取り拒否にしてもほとんど効果はありません。というのも、犯罪者は差出人住所を容易に変更できるからです。同様に、受取人が差出人住所に小包を返送したくても、本当の差出人である犯罪者の住所とは違う住所に送られます。パケットのアドレスを詐称できることは、多くのDDoS攻撃が悪用する重大な脆弱性です。

多くの場合、DDoS攻撃は、悪意のあるソースのIDを隠しながら、大量のトラフィックでターゲットを圧倒するために、スプーフィングを利用して脅威軽減措置を妨害します。ソースIPアドレスが詐称されて、継続的にランダム化されると、悪意のあるリクエストをブロックするのが困難になります。また、IPスプーフィングは、法執行機関やサイバーセキュリティチームが攻撃者を追跡するのを困難にします。

Spoofing is also used to masquerade as another device so that responses are sent to that targeted device instead. Volumetric attacks such as NTP Amplification and DNS amplification make use of this vulnerability. The ability to modify the source IP is inherent to the design of TCP/IP, making it an ongoing security concern.

DDoS攻撃とは関係ありませんが、スプーフィングは認証を回避してユーザーセッションへのアクセスまたは「ハイジャック」を行うために、別のデバイスになりすます目的でも実行されます。

IPスプーフィングから保護する方法(パケットフィルタリング)

While IP spoofing can’t be prevented, measures can be taken to stop spoofed packets from infiltrating a network. A very common defense against spoofing is ingress filtering, outlined in BCP38 (a Best Common Practice document). Ingress filtering is a form of packet filtering usually implemented on a network edge device which examines incoming IP packets and looks at their source headers. If the source headers on those packets don’t match their origin or they otherwise look fishy, the packets are rejected. Some networks will also implement egress filtering, which looks at IP packets exiting the network, ensuring that those packets have legitimate source headers to prevent someone within the network from launching an outbound malicious attack using IP spoofing.