SMURFDDoS攻撃

SMURF攻撃とは、被害者をICMPリクエストで氾濫させるDDoS攻撃の一種です。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • SMURF攻撃の定義
  • SMURF攻撃の仕組みとは
  • SMURF攻撃の軽減戦略の実装

記事のリンクをコピーする

SMURF攻撃とは?

SMURF攻撃とは、攻撃者が標的となるサーバーをInternet Control Message Protocol(ICMP)パケットで圧倒させようとする分散サービス妨害(DDoS)攻撃です。1つまたは複数のコンピューターネットワークに対して、標的のデバイスのスプーフィングIPアドレスでリクエストを行うことにより、コンピューターネットワークは標的サーバーに応答し、初期攻撃トラフィックを増幅し、潜在的に標的を圧倒し、アクセス不能にします。この攻撃ベクトルは一般に、解決された脆弱性と見なされており、もはや流行していません。

SMURF攻撃の仕組みとは?

ICMPパケットはDDoS攻撃で利用できますが、通常はネットワーク管理において貴重な機能を果たします。 ICMPパケットを利用するpingアプリケーションは、ネットワーク管理者がコンピューター、プリンター、ルーターなどのネットワークハードウェアデバイスをテストするために使用します。pingは通常、デバイスが動作しているかどうかを確認し、メッセージが送信元デバイスから標的に到達して送信元に戻るまでにかかる時間を追跡するために使用されます。残念ながら、ICMPプロトコルにはハンドシェイクが含まれていないため、リクエストを受信するハードウェアデバイスは、リクエストが正当なものであるかどうかを確認できません。

このタイプのDDoS攻撃は、事務所のマネージャーを呼び出し、会社のCEOを装ったいたずらのような例えとして考えることができます。いたずらをしている者はマネージャーに、それぞれの従業員に彼の個人的な番号に電話をかけ、仕事の成果について報告するように指示します。いたずらをしている者は、返信番号として標的とする被害者の番号を提供するため、被害者は事務所にいる人数分の不要な電話を受けます。

SMURF攻撃の仕組みとは:

  1. 最初に、SMURFマルウェアは、送信元アドレスが標的の被害者の実際のIPアドレスに設定されたスプーフされたパケットを作成します。
  2. その後、パケットはルーターのIPブロードキャストアドレスまたはファイアウォールに送信され、ブロードキャストネットワーク内の全てのホストデバイスアドレスにリクエストを送信し、ネットワーク上のネットワークデバイスの数だけリクエストの数を増やします。
  3. ネットワーク内のそれぞれのデバイスは、ブロードキャスターからリクエストを受信し、ICMPエコー応答パケットで標的のスプーフされたアドレスに応答します。
  4. その後、標的の被害者は大量のICMPエコー応答パケットを受信し、潜在的に圧倒され、正当なトラフィックへのサービス拒否をもたらします。

SMURF攻撃対策とは?

この攻撃ベクトルに対するいくつかの軽減戦略が長年にわたって開発および実装されており、その悪用は主に解決されたと考えられています。限られた数のレガシーシステムでは、まだ軽減技術を適用する必要がある場合があります。簡単なソリューションは、それぞれのネットワークルーターとファイアウォールでIPブロードキャストアドレスを無効にすることです。古いルーターはデフォルトでブロードキャストを有効にしますが、新しいルーターはすでにブロードキャストを無効にしている可能性があります。SMURF攻撃が発生した場合、CloudflareはICMPパケットが標的の配信元サーバーに到達するのを防止することにより、攻撃トラフィックを排除します。 Cloudflareの DDoS保護の仕組みの詳細をご覧ください。CloudflareのDDoS攻撃対策の仕組みの詳細をご確認ください。