UDPフラッド攻撃

UDPフラッドは、サーバーとそれを保護するファイアウォールの両方を圧倒できます。

Share facebook icon linkedin icon twitter icon email icon

UDPフラッド

学習目的

この記事を読み終えると、以下のことができます。

  • UDPフラッドDDoS攻撃の定義
  • UDPフラッド攻撃の仕組みに関する説明
  • UDPフラッドのいくつかの軽減戦略とは

UDPフラッド攻撃とは?

UDPフラッドは、 サービス拒否攻撃の一種であり、デバイスの処理能力と応答能力を圧倒する目的で、多数のユーザーデータグラムプロトコル(UDP) パケットが標的のサーバーに送信されます。標的のサーバーを保護するファイアウォールも、UDPフラッドの結果として使い果たされる可能性があり、正当なトラフィックへのサービス拒否をもたらします。

UDPフラッド攻撃の仕組みとは?

UDPフラッドは、主に、サーバーがポートの1つに送信されたUDPパケットに応答するときにサーバーが実行する手順を利用することで機能します。通常の状態では、サーバーは特定のポートでUDPパケットを受信すると、応答として次の2つのステップを実行します:

  1. サーバーはまず、特定されたポートで現在のリクエストを聞いているプログラムが実行されているかどうかを確認します。
  2. そのポートでパケットを受信しているプログラムがない場合、サーバーは ICMP (ping)パケットで応答し、送信者に到達不能であることを通知します。

UDPフラッドは、ホテルの受付係がコールをルーティングする状況のように考えることができます。最初に、受付係が電話を受信し、発信者は特定の部屋に接続するようにリクエストします。その後、受付係は、すべての部屋のリストを調べて、その部屋でゲストが応対可能であり、喜んで電話に出られるようにします。受付係がゲストが電話を取っていないことに気づいたら、電話を取り戻し、ゲストが電話を受け取らないことを発信者に伝えなければなりません。突然すべての電話回線が同様のリクエストで同時に点灯すると、すぐに圧倒されます。

DDoS bot traffic metaphor

それぞれの新しいUDPパケットがサーバーによって受信されると、プロセス内のサーバーリソースを利用して、リクエストを処理するための手順が実行されます。 UDPパケットが送信されると、それぞれのパケットには送信元デバイスの IPアドレスが含まれます。このタイプの DDoS攻撃に、攻撃者は通常、自身の実際のIPアドレスを使用しませんが、代わりにUDPパケットのソースIPアドレスをスプーフし、攻撃者の本当の場所が公開され、標的となるサーバーからの応答パケットで飽和する可能性を防ぎます。


標的のサーバーがリソースを使用して各受信UDPパケットを確認し、応答する結果、大量のUDPパケットが受信されると標的のリソースがすぐに使い果たされる可能性があり、通常のトラフィックに対するサービス拒否が発生します。

UDP flood DDoS attack animation

UDPフラッド攻撃対策とは?

ほとんどのオペレーティングシステムは、ICMP応答を必要とするDDoS攻撃を妨害するために、ICMPパケットの応答速度を部分的に制限します。このタイプの軽減策の1つの欠点は、攻撃中に正当なパケットもプロセスでフィルタリングされる可能性があることです。 UDPフラッドのボリュームが標的のサーバーのファイアウォールの状態表を飽和させるほど大きい場合、サーバーレベルで発生する軽減策は、標的のデバイスのアップストリームでボトルネックが発生するため不十分です。

CloudflareのUDPフラッド攻撃対策とは?

標的に到達する前にUDP攻撃トラフィックを軽減するために、Cloudflareはネットワークエッジ DNSに関連しないすべてのUDPトラフィックをドロップします。 Cloudflareの Anycastネットワークは多くのデータセンターにWebトラフィックを分散させるため、あらゆる規模のUDPフラッド攻撃を処理するのに十分な容量があります。 Cloudflareの DDoS保護 の詳細をご覧ください。