Ping(ICMP)フラッドDDoS攻撃

ICMPリクエストでターゲットを圧倒するDDoS攻撃。

Share facebook icon linkedin icon twitter icon email icon

Ping(ICMP)フラッド

学習目的

この記事を読み終えると、以下のことができます。

  • PingフラッドDDoS攻撃の定義
  • Pingフラッド攻撃の仕組みに関する説明
  • Ping攻撃のタイプに関して
  • Pingフラッド攻撃を軽減するための戦略を実装

Ping(ICMP)フラッド攻撃とは?

pingフラッドは、攻撃者がICMPエコーリクエストパケットで標的のデバイスを圧倒しようとするサービス拒否攻撃であり、標的が通常のトラフィックにアクセスできなくなる原因となります。攻撃トラフィックが複数のデバイスから来る場合、攻撃は DDoS または分散型サービス拒否攻撃になります。

Pingフラッド攻撃の仕組みとは?

Ping Flood攻撃で使用されるインターネット制御メッセージプロトコル(ICMP) は、ネットワークデバイスが通信に使用するインターネット層プロトコルです。ネットワーク診断ツール traceroute および ping の両方ともICMPを使用して動作します。一般に、ICMPエコーリクエストおよびエコー応答メッセージは、デバイスの正常性と接続性、および送信者とデバイス間の接続を診断する目的で、ネットワークデバイスをpingするために使用されます。


ICMPリクエストでは、それぞれのリクエストを処理して応答を送信するために、いくつかのサーバーリソースが必要です。リクエストには、着信メッセージ(echo-request)と発信応答(echo-reply)の両方の帯域幅も必要です。 Pingフラッド攻撃の狙いは、標的となるデバイスが多数のリクエストに応答する能力を圧倒すること、および/または偽のトラフィックでネットワーク接続を過負荷にすることです。 ボットネット内の多くのデバイスがICMPリクエストを使用して同じインターネットプロパティまたはインフラストラクチャコンポーネントを標的とすることにより、攻撃トラフィックが大幅に増加し、通常のネットワークアクティビティが中断される可能性があります。歴史的に、攻撃者は送信デバイスを隠すために、偽の IPアドレススプーフを行うことがよくありました。最新のボットネット攻撃では、悪意のある攻撃者はボットのIPを隠す必要性なく、代わりに、スプーフでないボットの大規模なネットワークに依存して標的の容量を飽和させます。

Ping(ICMP)フラッドのDDoS形式は、次の2つの繰り返しのステップに分類できます:

  1. 攻撃者は、複数のデバイスを使用して、標的のサーバーに多くのICMPエコーリクエストパケットを送信します。
  2. 標的のサーバーは、ICMPエコー応答パケットをそれぞれのリクエストデバイスのIPアドレスに応答として送信します。
Ping ICMP DDoS Attack Diagram

Pingフラッドの有害な影響は、標的のサーバーに対して行われたリクエストの数に正比例します。 NTP増幅および DNS増幅などのリフレクションベースのDDoS攻撃とは異なり、Pingフラッド攻撃トラフィックは対称的です。標的のデバイスが受信する帯域幅の量は、各ボットから送信されたトラフィックの合計です。

Pingフラッド攻撃の対策とは?

pingフラッドの無効化は、標的のルーター、コンピューター、またはその他のデバイスのICMP機能を無効にすることで最も簡単に実現できます。ネットワーク管理者は、デバイスの管理インターフェイスにアクセスし、ICMPを使用してリクエストを送受信する機能を無効にして、リクエストの処理とエコー応答の両方を効果的に排除できます。この結果、ICMPを含むすべてのネットワークアクティビティが無効になり、デバイスがpingリクエスト、tracerouteリクエスト、およびその他のネットワーク活動に応答しなくなります。

CloudflareのPingフラッド攻撃対策とは?

Cloudflareは、標的となる配信元サーバーとPingフラッドの間に立つことにより、このタイプの攻撃をある程度軽減します。各pingリクエストが行われると、CloudflareはICMPエコーリクエストの処理と応答プロセスを処理し、 ネットワークエッジ上で応答します。この戦略は、帯域幅と処理能力の両方のリソースコストを標的のサーバーから取り除き、Cloudflareの Anycast ネットワークに配置します。 Cloudflareの DDoS保護 詳細をご覧ください。