偽造ソースアドレスの偽装IPパケットは、検出されることを回避するために攻撃でよく用いられます。
この記事を読み終えると、以下のことができるようになります。
関連コンテンツ
是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!
記事のリンクをコピーする
IPスプーフィングとは、送信者の身元を隠す、別のコンピューターシステムになりすます、またはその両方を行うためにソースアドレスを変更したインターネットプロトコル(IP)パケットを作成することです。多くの場合、ターゲットデバイスまたは周囲のインフラストラクチャに対してDDoS攻撃を仕掛ける悪人によって使用される手法です。
IPパケットの送受信は、ネットワーク化されたコンピューターがほかのデバイスと通信するための主な方法であり、現代のインターネットの基礎となるものです。すべてのIPパケットには、パケットの本体の前にあり、ソースアドレスを含む、重要なルーティング情報が入れられたヘッダーが含まれています。正常なパケットでは、ソースIPアドレスは、パケットの送信者のアドレスです。パケットが詐称されている場合、ソースアドレスは偽造されています。
IPスプーフィングは、犯罪者が偽の差出人住所を使用して誰かに小包を送るようなものです。小包の受取人が小包の発送を止めたい場合、偽の住所から配送される小包をすべて受け取り拒否にしてもほとんど効果はありません。というのも、犯罪者は差出人住所を容易に変更できるからです。同様に、受取人が差出人住所に小包を返送したくても、本当の差出人である犯罪者の住所とは違う住所に送られます。パケットのアドレスを詐称できることは、多くのDDoS攻撃が悪用する重大な脆弱性です。
多くの場合、DDoS攻撃は、悪意のあるソースのIDを隠しながら、大量のトラフィックでターゲットを圧倒するために、スプーフィングを利用して脅威軽減措置を妨害します。ソースIPアドレスが詐称されて、継続的にランダム化されると、悪意のあるリクエストをブロックするのが困難になります。また、IPスプーフィングは、法執行機関やサイバーセキュリティチームが攻撃者を追跡するのを困難にします。
IPスプーフィングは、別のデバイスになりすまして、そのデバイスにレスポンスが送信されるようにするためにも使用されます。NTPアンプ攻撃やDNSアンプ攻撃といった帯域幅消費型攻撃は、こうした脆弱性を悪用したものです。ソースIPを変更できることは、TCP/IPの設計に固有なものであり、継続的なセキュリティ上の懸念事項となっています。
DDoS攻撃とは関係ありませんが、スプーフィングは認証を回避してユーザーセッションへのアクセスまたは「ハイジャック」を行うために、別のデバイスになりすます目的でも実行されます。
IPスプーフィングを防止することはできないものの、偽装パケットがネットワークに侵入するのを止めるための対策を講じることはできます。スプーフィングに対する一般的な防御策は、BCP38(Best Common Practice文書)で定義されているイングレスフィルタリングです。通常、イングレスフィルタリングは、入ってくるIPパケットの中身を調べてソースヘッダーを確認するネットワーク Edgeデバイスに実装されるパケットフィルタリングの一種です。パケット上のソースヘッダーが配信元のそれと一致しない場合または不審にみえる場合、パケットは拒否されます。一部のネットワークでは、ネットワークから出て行くIPパケットを調べて、そのパケットに正当なソースヘッダーがあることを確認し、ネットワーク内の誰かがIPスプーフィングを使用して悪意のあるアウトバウンド攻撃を仕掛けるのを阻止するためにエグレスフィルタリングも実装します。