Smurf攻撃

Smurf攻撃（スマーフこうげき、英: Smurf attack）とは、DoS攻撃の一種であり、標的となるコンピュータのIPアドレスを送信元アドレスとしてなりすました大量のICMPパケットをブロードキャストアドレスによってコンピュータネットワークにブロードキャストで送信するものである。ネットワーク上のほとんどのデバイスは、デフォルトで、受信したICMPメッセージの送信元アドレスに対して応答メッセージを送信する。パケットを受信して応答するマシンが非常に多いと、標的のコンピュータはトラフィックであふれることになる。これにより、標的のコンピュータの速度が遅くなり、作業が不可能になる。

歴史

Smurf攻撃を行う最初のプログラムはDan Moschuk（別名TFreak）によって書かれたもので^[1]、そのときのプログラム名smurf.cからSmurf攻撃とよばれるようになった。

1990年代後半には、多くのIPネットワークがSmurf攻撃に参加することになった（つまり、それらはブロードキャストアドレスに送信されたICMP要求に応答した）。その名前は、漫画『スマーフ』に登場する架空の種族のように、体は小さいが、はるかに大きい相手を大勢で攻撃して圧倒するということから来ている。今日では、ネットワークをこのような攻撃から守る手段が確立されている。そのため、Smurf攻撃に対して脆弱なままのネットワークはほとんどない^[2]。

対策

Smurf攻撃の対策は、以下の2通りがある。

1. ICMP要求やブロードキャストに応答しないように、個々のホストとルータを設定する。
2. ブロードキャストアドレスに向けられたパケットを転送しないようにルータを設定する。1999年まで、ルータはデフォルトでそのようなパケットを転送する必要があると標準で規定されていた。1999年に標準が改定され、デフォルトでそのようなパケットを転送しないように変更された^[3]。

他の解決策として、イングレスフィルタリング（英語版）がある。これは、送信元アドレスに基づいてパケットをフィルタリングし、それがアドレスが偽造された攻撃パケットの場合には転送を拒否するものである^[4]。

シスコ製ルータでの対策

シスコ製ルータの場合、以下の設定によって、ブロードキャストアドレスにパケットを転送しないようにする。

Router(config-if)# no ip directed-broadcast

このコマンド例では、ネットワークがSmurf攻撃の標的になることは防げない。ネットワークがSmurf攻撃に参加するのを防ぐだけである。

Smurf攻撃に使用されるのを防ぐ対策が取られていないコンピュータのことをSmurfアンプ(Smurf amplifier)と呼ぶことがある。Smurfアンプは、偽装された送信元IPアドレスに対して応答を返し、標的に対して大量のICMP応答を生成してしまうように設定されているため、Smurf攻撃の重大度を悪化させてしまう。

Fraggle攻撃

Fraggle攻撃（フラグルこうげき）はSmurf攻撃の変種であり、攻撃者が大量のUDPトラフィックをIPブロードキャストアドレスのポート7(Echo)および19(CHARGEN)に送信し、その送信元アドレスを標的のIPアドレスになりすます。

これはSmurf攻撃と非常によく似ている。ネットワーク上の多くのコンピュータがこのトラフィックに応答し、標的のIPアドレスにトラフィックを送り返してトラフィックをあふれさせるからである^[5]。

この攻撃を行う最初のプログラムのソースコードFraggle.cも、TFreakによって書かれたものである^[6]。