UDPフラッドは、サーバーとそれを保護するファイアウォールの両方を圧倒できます。
この記事を読み終えると、以下のことができるようになります。
関連コンテンツ
是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!
記事のリンクをコピーする
UDPフラッドは、サービス拒否攻撃の一種であり、デバイスの処理能力と応答能力を圧倒する目的で、多数のユーザーデータグラムプロトコル(UDP)パケットが標的のサーバーに送信されます。標的のサーバーを保護するファイアウォールも、UDPフラッドの結果として使い果たされる可能性があり、正当なトラフィックへのサービス拒否をもたらします。
UDPフラッドは、主に、サーバーがポートの1つに送信されたUDPパケットに応答するときにサーバーが実行する手順を利用することで機能します。通常の状態では、サーバーは特定のポートでUDPパケットを受信すると、応答として次の2つのステップを実行します:
UDPフラッドは、ホテルの受付係がコールをルーティングする状況のように考えることができます。最初に、受付係が電話を受信し、発信者は特定の部屋に接続するようにリクエストします。その後、受付係は、すべての部屋のリストを調べて、その部屋でゲストが応対可能であり、喜んで電話に出られるようにします。受付係がゲストが電話を取っていないことに気づいたら、電話を取り戻し、ゲストが電話を受け取らないことを発信者に伝えなければなりません。突然すべての電話回線が同様のリクエストで同時に点灯すると、すぐに圧倒されます。
それぞれの新しいUDPパケットがサーバーによって受信されると、プロセス内のサーバーリソースを利用して、リクエストを処理するための手順が実行されます。UDPパケットが送信されると、それぞれのパケットには送信元デバイスのIPアドレスが含まれます。このタイプの DDoS攻撃に、攻撃者は通常、自身の実際のIPアドレスを使用しませんが、代わりにUDPパケットのソースIPアドレスをスプーフし、攻撃者の本当の場所が公開され、標的となるサーバーからの応答パケットで飽和する可能性を防ぎます。
標的のサーバーがリソースを使用して各受信UDPパケットを確認し、応答する結果、大量のUDPパケットが受信されると標的のリソースがすぐに使い果たされる可能性があり、通常のトラフィックに対するサービス拒否が発生します。
ほとんどのオペレーティングシステムは、ICMP応答を必要とするDDoS攻撃を妨害するために、ICMPパケットの応答速度を部分的に制限します。このタイプの軽減策の1つの欠点は、攻撃中に正当なパケットもプロセスでフィルタリングされる可能性があることです。UDPフラッドのボリュームが標的のサーバーのファイアウォールの状態表を飽和させるほど大きい場合、サーバーレベルで発生する軽減策は、標的のデバイスのアップストリームでボトルネックが発生するため不十分です。
標的に到達する前にUDP攻撃トラフィックを軽減するために、Cloudflareはネットワークエッジ DNSに関連しないすべてのUDPトラフィックをドロップします。Cloudflareの エニーキャストネットワークは多くのデータセンターにWebトラフィックを分散させるため、あらゆる規模のUDPフラッド攻撃を処理するのに十分な容量があります。 CloudflareのDDoS保護の詳細をご覧ください。CloudflareのDDoS対策の詳細についてご覧ください。