第3層層 DDoS攻撃は、第3層プロトコル、特にICMPを使用して、標的とするサーバー、Webサイト、またはアプリケーションを停止させます。
この記事を読み終えると、以下のことができるようになります。
関連コンテンツ
是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!
記事のリンクをコピーする
分散サービス妨害(DDoS)攻撃は、大量のデータで標的を圧倒しようとします。DDoS攻撃は、交通渋滞によって高速道路が滞留するようなもので、通常の交通が目的地に到達するのを妨げます。
第3層 DDoS攻撃は、OSI 参照モデルで第3層(L3)を標的とします。すべてのDDoS攻撃と同様に、第3層攻撃の目標は、プログラム、サービス、コンピューター、またはネットワークの速度を落とすかクラッシュさせる、または他の誰もサービスを受けられないように容量を使い果たすことです。L3 DDoS攻撃は通常、ネットワーク機器とインフラストラクチャを標的にすることでこれを達成します。
第3層 DDoS攻撃と上位層での攻撃にはいくつかの重要な違いがあります。
OSIモデルは、インターネットの仕組みの概念モデルです。OSIモデルの主な目標は、人々がネットワーク機器とプロトコルについて話し、どのプロトコルがどのソフトウェアとハードウェアによって使用されるかを決定し、基盤となるハードウェアに関係なくインターネットがどのように機能するかを示すことを支援することです。
OSIモデルでは、さまざまなテクノロジーを分割して、インターネットを層で機能させます。合計で7つの層があります。
OSI第3層は、ネットワーク層と呼ばれます。第3層は、相互接続されたネットワーク、つまりインターネットを可能にするプロトコルとテクノロジーで構成されています。この層は、ネットワーク全体のルーティングが行われる場所です。ネットワークを通過するデータはパケットに分割され、これらのパケットは第3層で宛先を与えられ、目的地へ送信されます。このプロセスで最も重要なプロトコルはインターネットプロトコル(IP)です。
第3層のプロトコルは、接続を開いたり、信頼できるデータ配信を保証したり、標的とするデバイス上のどのサービスがデータを使用すべきかを示したりしません。これらは第4層のプロセスです。第4層では、TCPやUDPなどのトランスポートプロトコルを使用します。第4層トランスポートプロトコルを使用せずにネットワーク経由でパケットを送信することは、住所が正しいことを確認せず、あるいはその住所の誰が手紙を開けるかを明示せずに住所宛てに手紙を郵送したり、また信頼できる郵便配達サービスを使わないようなものです。データは到着するかもしれないし、到着しないかもしれません。これが、多くの第3層プロトコルが常に、データが適切な場所に送られることを保証する第4層トランスポートプロトコルと共に使用される理由です。
ただし、トランスポートプロトコルを使用しなくても、IPを介してネットワークの宛先にデータパケットを送信することは可能です。
第3層は接続がないため、第3層のDDoS攻撃はTCP経由で接続を開いたり、ポート割り当てを示す必要はありません。第3層 DDoS攻撃は、特定のポートではなく、コンピューターが実行しているネットワークソフトウェアを標的にします。
これらは最も広く使用されている第3層プロトコルであり、DDoS攻撃で使用される可能性が最も高いものです。
IP:インターネットプロトコル(IP)は、正しい目的地に到着するようにデータのパケットをルーティングおよびアドレス指定します。インターネットに接続するすべてのデバイスにはIPアドレスがあり、IPプロトコルは各データパケットに正しいIPアドレスを添付します。誰かに宛てて手紙を送るのと同様です。
IPsec:IPsec は実際にはいくつかのプロトコルのスイートであり、単一のプロトコルではありません。IPsecは、VPNで使用されるIPの暗号化バージョンであり、HTTPSとHTTPの違いに似ています。
ICMP:インターネット制御メッセージプロトコル(ICMP)はエラーレポートとテストを処理します。コネクションレス型プロトコルであるICMPは、TCPやUDPなどのトランスポートプロトコルを使用しません。むしろ、ICMPパケットはIPのみで送信されます。開発者とネットワークエンジニアは、pingおよびtraceroute機能にICMPを使用します。通常、一度に送信する必要があるICMPパケットは1つだけです。
第3層プロトコルには以下も含まれます。
これらのプロトコルのいずれかを使用すれば、理論的には攻撃が可能です。ICMPは一般に、応答できないほど多くのpingでサーバーをフラッディングするか、1つの大きなpingパケットで受信デバイスをクラッシュさせる(これは「ping of death 」として知られています)ために使用されます。攻撃者は、IPsecを使用して、標的にジャンクデータや非常に大きなセキュリティ証明書を送付してフラッディングさせることができます。
ただし、これらのプロトコルのすべてがDDoS攻撃に対して実用的であるとは限らず、ハードウェアの更新によって一部の種類の攻撃は不可能になります。たとえば、ARPはローカルネットワーク内でのみ動作するため、攻撃者はまずDDoS攻撃を実行する前にローカルネットワークに接続する必要があります。また、ICMP ping of death攻撃は、大きすぎるIPパケットを無視する最新のハードウェアでは不可能です。
他のタイプのDDoS攻撃と同様に、攻撃者はこれらのプロトコルを介して大量のジャンクネットワークトラフィックを送信します。プロトコルに応じて、これを行うためのさまざまな方法があります。ジャンクトラフィックは正当なユーザーリクエストの邪魔になり、それらへの応答を遅くしたり、完全にブロックしたりします。ジャンクデータが非常に多いため、標的のリソースを圧迫し、時に標的がクラッシュする場合があります。
IPを介した攻撃など、他の攻撃も可能ですが、ICMPベースの攻撃が最も一般的です。よく知られたICMP攻撃には以下が含まれます。
第4層および第7層でのDDoS攻撃のブロックに加えて、Cloudflareは第3層のDDoS攻撃を軽減します。Cloudflare Magic Transitは、あらゆる層でのDDoS攻撃を含む、内部ネットワークインフラストラクチャへの攻撃を阻止するために特別に設計されています。Cloudflare WAFとCDNは、第7層のみのHTTPポートとHTTPSポートへのトラフィックのみを受け入れることにより、第3層へのDDoS攻撃も阻止します。
TCP/IPモデルは、ネットワークの動作の代替モデルです。TCP/IPモデルには7つの層の代わりに4つの層があります。
4. アプリケーション層(OSI参照モデルの第5~7層に対応)
3. トランスポート層(OSI参照モデルの第4層に対応)
2. インターネット層(OSI参照モデルの第3層に対応)
1. ネットワークアクセス/リンク層(OSI参照モデルの第1~2層に対応)
OSIモデルではなくTCP/IPモデルを参照すると、第3層 DDoS攻撃は第2層 DDoS攻撃となります。