DDoS IP/ICMP フラグメンテーション攻撃

DDoS IP/ICMP フラグメンテーション攻撃とは何ですか?

インターネット プロトコル (IP)/インターネット コントロール メッセージ プロトコル (ICMP) フラグメンテーション DDoS 攻撃は、サービス拒否攻撃の一般的な形式です。このような攻撃では、データグラム断片化メカニズムがネットワークを圧倒するために使用されます。

IP フラグメンテーションは、通常の通信プロセスの一環として、IP データグラムが小さなパケットに分割され、ネットワーク上に送信され、最終的に元のデータグラムに再組み立てされるときに発生します。このプロセスは、各ネットワークが処理できるサイズ制限を満たすために必要です。このような制限は、最大送信単位 (MTU) として記述されます。

パケットが大きすぎる場合、正常に送信するにはパケットをより小さなフラグメントに分割する必要があります。これにより、複数のパケットが送信され、その 1 つに、送信元/宛先ポート、長さなど、パケットに関するすべての情報が含まれます。これが最初のフラグメントです。

残りのフラグメントには、IP ヘッダー (IP ヘッダー) とデータ ペイロードのみが含まれます。これらのフラグメントには、プロトコル、容量、ポートに関する情報は含まれません。

攻撃者は IP フラグメンテーションを使用して、通信システムやセキュリティ コンポーネントをターゲットにする可能性があります。 ICMP ベースの断片化攻撃は、多くの場合、最適化できない偽の断片を送信します。これにより、フラグメントが一時メモリに配置され、メモリが占​​有され、場合によっては利用可能なメモリ リソースがすべて使い果たされてしまいます。

IP/ICMP フラグメンテーション DDoS 攻撃の兆候

IP/ICMP フラグメンテーションにより、宛先に断片化されたパケットが大量に送信されます。

IP/ICMP フラグメンテーションは、宛先に断片化されたパケットを大量に送信し、すべてのフラグメントを再構築するためにメモリを使用し、ターゲットのネットワークを過負荷にします。

このような攻撃は、次のようなさまざまな形で現れます。

- UDP フラッディング- このタイプの DDoS 攻撃では、攻撃者はボットネットを使用して、複数のソースから大量のフラグメントを送信します。多くの場合、受信者は開始フラグメントを認識しません (これらのフラグメントは、受信パケットの混乱の中で失われることがよくあります)。プロトコル ヘッダー フラグメントのないパケットが大量に表示されるだけです。これらの非初期フラグメントは、正規のセッションに属している可能性があるため注意が必要ですが、ほとんどの場合はジャンク トラフィックになります。元のフラグメントが失われているため、受信者にはどれが正当でどれがそうでないかについて手がかりがありません。

- UDP および ICMP フラグメンテーション DDoS 攻撃- このタイプの DDoS 攻撃では、偽の UDP または ICMP パケットが送信されます。これらのパケットは、ネットワークの MTU より大きく見えるように設計されていますが、実際に送信されるのはパケットの一部だけです。パケットは偽のもので再構築できないため、サーバーのリソースがすぐに消費され、最終的にはサーバーが正規のトラフィックで使用できなくなります。

- DDoS TCP フラグメンテーション攻撃- このタイプの DDoS 攻撃は、ティアドロップ攻撃としても知られ、TCP/IP 再構成メカニズムを標的とします。この場合、断片化されたパケットは再構築されません。その結果、データ パケットが重複し、対象のサーバーが完全に過負荷になり、最終的には動作を停止します。

• Ping of Death 攻撃とは何ですか?

IP/ICMP フラグメンテーション攻撃が危険なのはなぜですか?

IP/ICMP フラグメンテーション攻撃は非常に危険です

IP/ICMP フラグメンテーション攻撃は、他の多くの DDoS 攻撃と同様、大量のトラフィックによってターゲットサーバーのリソースを圧倒します。ただし、この DDoS 攻撃は、ターゲット サーバーにパケットの再構成を試みるリソースの使用を強制するため、ネットワーク デバイスやサーバーのクラッシュにつながることがよくあります。最後に、非フラグメント フラグメントには、最初はそれらが属するサービスに関する情報が含まれていないため、どのパケットが安全でどのパケットが安全でないかを判断するのが困難です。

IP/ICMP フラグメンテーション攻撃を軽減および防止するにはどうすればよいですか?

DDoS IP/ICMP フラグメンテーション攻撃を防ぐアプローチは、攻撃の種類と範囲によって異なります。

DDoS IP/ICMP フラグメンテーション攻撃を防ぐアプローチは、攻撃の種類と範囲によって異なります。最も一般的な緩和方法には、悪意のあるパケットがターゲットのホストに到達するのを確実に阻止することが含まれます。これには、受信パケットを検査してフラグメンテーション ルールに違反しているかどうかを判断することが含まれます。

サービス拒否攻撃を軽減する可能性のある方法の 1 つは、開始フラグメント以外のすべてのフラグメントをブロックすることですが、これにより、それらのフラグメントに依存する正規のトラフィックに問題が発生します。より良い解決策は、レート制限を使用することです。これにより、大部分のパケット (レート制限ではパケットが区別されないため、良いパケットと悪いパケットの両方) がドロップされ、攻撃されたターゲット サーバーは影響を受けません。

このアプローチには、フラグメントに依存する正規のサービスで問題が発生するリスクがありますが、トレードオフには価値があるかもしれません。 100％成功をもたらす方法はありません。 DNS などのフラグメントに依存するサービスを使用している場合は、依存する特定のサーバーをホワイトリストに登録し、残りのサーバーにはレート制限を使用できます。