第3層 DDoS攻撃の仕組みとは?| L3 DDoS

第3層層 DDoS攻撃は、第3層プロトコル、特にICMPを使用して、標的とするサーバー、Webサイト、またはアプリケーションを停止させます。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • 「第3層」の意味を理解する
  • 第3層 DDoS攻撃と他のDDoS攻撃の違いを学ぶ
  • 第3層で使用されるプロトコル、および攻撃者がDDoS攻撃でそれらを使用する方法を学びます

関連コンテンツ


さらに詳しく知りたいとお考えですか?

是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!

当社がお客様の個人データをどのように収集し処理するかについては、Cloudflareのプライバシーポリシーをご確認ください。

記事のリンクをコピーする

第7層へのDDoS攻撃とは?

分散サービス妨害(DDoS)攻撃は、大量のデータで標的を圧倒しようとします。DDoS攻撃は、交通渋滞によって高速道路が滞留するようなもので、通常の交通が目的地に到達するのを妨げます。

第3層 DDoS攻撃は、OSI 参照モデルで第3層(L3)を標的とします。すべてのDDoS攻撃と同様に、第3層攻撃の目標は、プログラム、サービス、コンピューター、またはネットワークの速度を落とすかクラッシュさせる、または他の誰もサービスを受けられないように容量を使い果たすことです。L3 DDoS攻撃は通常、ネットワーク機器とインフラストラクチャを標的にすることでこれを達成します。

第3層 DDoS攻撃と上位層での攻撃にはいくつかの重要な違いがあります。

  1. 第3層攻撃は、(第4層および第7層 DDoS攻撃のように)トランスポート層やアプリケーション層プロセスではなく、ネットワーク層を標的にします
  2. 第3層攻撃は、最初に標的とのTCP接続を開く必要はありません
  3. 第3層攻撃は特定のポートを標的にしません

OSIモデルとは?

OSIモデルは、インターネットの仕組みの概念モデルです。OSIモデルの主な目標は、人々がネットワーク機器とプロトコルについて話し、どのプロトコルがどのソフトウェアとハードウェアによって使用されるかを決定し、基盤となるハードウェアに関係なくインターネットがどのように機能するかを示すことを支援することです。

OSIモデルでは、さまざまなテクノロジーを分割して、インターネットを層で機能させます。合計で7つの層があります。

OSIモデル

OSIモデルの第3層とは?

OSI第3層は、ネットワーク層と呼ばれます。第3層は、相互接続されたネットワーク、つまりインターネットを可能にするプロトコルとテクノロジーで構成されています。この層は、ネットワーク全体のルーティングが行われる場所です。ネットワークを通過するデータはパケットに分割され、これらのパケットは第3層で宛先を与えられ、目的地へ送信されます。このプロセスで最も重要なプロトコルはインターネットプロトコル(IP)です。

第3層のプロトコルは、接続を開いたり、信頼できるデータ配信を保証したり、標的とするデバイス上のどのサービスがデータを使用すべきかを示したりしません。これらは第4層のプロセスです。第4層では、TCPやUDPなどのトランスポートプロトコルを使用します。第4層トランスポートプロトコルを使用せずにネットワーク経由でパケットを送信することは、住所が正しいことを確認せず、あるいはその住所の誰が手紙を開けるかを明示せずに住所宛てに手紙を郵送したり、また信頼できる郵便配達サービスを使わないようなものです。データは到着するかもしれないし、到着しないかもしれません。これが、多くの第3層プロトコルが常に、データが適切な場所に送られることを保証する第4層トランスポートプロトコルと共に使用される理由です。

ただし、トランスポートプロトコルを使用しなくても、IPを介してネットワークの宛先にデータパケットを送信することは可能です。

第3層は接続がないため、第3層のDDoS攻撃はTCP経由で接続を開いたり、ポート割り当てを示す必要はありません。第3層 DDoS攻撃は、特定のポートではなく、コンピューターが実行しているネットワークソフトウェアを標的にします。

第3層に使用されるプロトコルは?

これらは最も広く使用されている第3層プロトコルであり、DDoS攻撃で使用される可能性が最も高いものです。

IP:インターネットプロトコル(IP)は、正しい目的地に到着するようにデータのパケットをルーティングおよびアドレス指定します。インターネットに接続するすべてのデバイスにはIPアドレスがあり、IPプロトコルは各データパケットに正しいIPアドレスを添付します。誰かに宛てて手紙を送るのと同様です。

IPsec:IPsec は実際にはいくつかのプロトコルのスイートであり、単一のプロトコルではありません。IPsecは、VPNで使用されるIPの暗号化バージョンであり、HTTPSHTTPの違いに似ています。

ICMP:インターネット制御メッセージプロトコル(ICMP)はエラーレポートとテストを処理します。コネクションレス型プロトコルであるICMPは、TCPやUDPなどのトランスポートプロトコルを使用しません。むしろ、ICMPパケットはIPのみで送信されます。開発者とネットワークエンジニアは、pingおよびtraceroute機能にICMPを使用します。通常、一度に送信する必要があるICMPパケットは1つだけです。

第3層プロトコルには以下も含まれます。

  • IGMP:インターネットグループメッセージプロトコルはIPマルチキャストグループを管理し、ネットワーク内の複数のデバイスが同じIPトラフィックを受信できるようにします。
  • ARP:アドレス解決プロトコルは、単一のネットワーク内でのみ使用されます。コンピューターはこのプロトコルを使用して、IPアドレスをネットワーク内のMACアドレスにマップします(MACアドレスは、すべてのインターネット対応デバイスに組み込まれた一意の識別子で指紋のようなものです)。

これらのプロトコルのいずれかを使用すれば、理論的には攻撃が可能です。ICMPは一般に、応答できないほど多くのpingでサーバーをフラッディングするか、1つの大きなpingパケットで受信デバイスをクラッシュさせる(これは「ping of death 」として知られています)ために使用されます。攻撃者は、IPsecを使用して、標的にジャンクデータや非常に大きなセキュリティ証明書を送付してフラッディングさせることができます。

ただし、これらのプロトコルのすべてがDDoS攻撃に対して実用的であるとは限らず、ハードウェアの更新によって一部の種類の攻撃は不可能になります。たとえば、ARPはローカルネットワーク内でのみ動作するため、攻撃者はまずDDoS攻撃を実行する前にローカルネットワークに接続する必要があります。また、ICMP ping of death攻撃は、大きすぎるIPパケットを無視する最新のハードウェアでは不可能です。

第3層 DDoS攻撃の仕組みは?

他のタイプのDDoS攻撃と同様に、攻撃者はこれらのプロトコルを介して大量のジャンクネットワークトラフィックを送信します。プロトコルに応じて、これを行うためのさまざまな方法があります。ジャンクトラフィックは正当なユーザーリクエストの邪魔になり、それらへの応答を遅くしたり、完全にブロックしたりします。ジャンクデータが非常に多いため、標的のリソースを圧迫し、時に標的がクラッシュする場合があります。

よく知られているタイプの第3層 DDoS攻撃にはどのようなものがありますか?

IPを介した攻撃など、他の攻撃も可能ですが、ICMPベースの攻撃が最も一般的です。よく知られたICMP攻撃には以下が含まれます。

  • Pingフラッド: PingフラッドDDoS攻撃では、攻撃者は数千または数百万ものping要求を一度にサーバーに送信します。
  • Smurf攻撃:ICMPにはセキュリティまたは検証手段がありません。これにより、攻撃者はICMP要求でIPアドレスをスプーフィングできます。Smurf DDoS攻撃では、攻撃者はping要求を数千のサーバーに送信し、ping要求の中で標的のIPアドレスを偽装して、応答が攻撃者ではなく標的に送信されるようにします。最新のネットワークハードウェアのほとんどは、この攻撃に対して脆弱性はありません。
  • Ping of death:ICMP Ping of Death攻撃では、攻撃者が最大許容サイズを超えるping要求を標的に送信します。標的に向かう途中のルーターは、pingを小さなパケットにフラグメント化するため、ターゲットはそれらを受け入れますが、小さなフラグメントから大きなパケットを再構築しようとすると、パケットサイズが最大値を超え、標的はクラッシュします。最近のデバイスは、この攻撃に対して脆弱ではありません。

Cloudflareは第3層 DDoS攻撃からどのように保護するのか?

第4層および第7層でのDDoS攻撃のブロックに加えて、Cloudflareは第3層のDDoS攻撃を軽減します。Cloudflare Magic Transitは、あらゆる層でのDDoS攻撃を含む、内部ネットワークインフラストラクチャへの攻撃を阻止するために特別に設計されています。Cloudflare WAFとCDNは、第7層のみのHTTPポートとHTTPSポートへのトラフィックのみを受け入れることにより、第3層へのDDoS攻撃も阻止します。

TCP / IPモデルの第3層とは?

TCP/IPモデルは、ネットワークの動作の代替モデルです。TCP/IPモデルには7つの層の代わりに4つの層があります。

4. アプリケーション層(OSI参照モデルの第5~7層に対応)

3. トランスポート層(OSI参照モデルの第4層に対応)

2. インターネット層(OSI参照モデルの第3層に対応)

1. ネットワークアクセス/リンク層(OSI参照モデルの第1~2層に対応)

OSIモデルではなくTCP/IPモデルを参照すると、第3層 DDoS攻撃は第2層 DDoS攻撃となります。