トップQs
タイムライン
チャット
視点
UDPフラッド攻撃
UDPの特性を悪用し、標的となるサーバーやネットワーク機器に大量のUDPパケットを送りつけるDos攻撃 ウィキペディアから
Remove ads
UDPフラッド攻撃(UDPフラッドこうげき)は、コンピュータネットワークプロトコルであるUser Datagram Protocol (UDP) を使用した、大規模なDoS攻撃である。
この攻撃はUDPの「コネクションレス型通信」という特性を悪用し、標的となるサーバやネットワーク機器に大量のUDPパケットを送りつけることで、そのリソースを枯渇させ、正規のサービス提供を不能にするボリューム型の攻撃である[1]。
UDPフラッド攻撃は、その中でも特に頻繁に観測される手法であり、2023年上半期に観測されたボリューム型ネットワークDDoS攻撃において、総攻撃トラフィック量の63.8%を占めたという報告もある[2]。
UDPプロトコルとUDPフラッド攻撃の基礎
UDPの最も顕著な特徴は、「コネクションレス型」であるという点にある[3]。これは、TCPが通信開始前に行う「3ウェイハンドシェイク」のような、送信者と受信者間での事前の接続確立手順を一切必要としないことを意味する[3]。送信者は、受信者の状態や可用性を確認することなく、宛先のIPアドレスとポート番号を指定するだけで、一方的にデータグラム(パケット)を送りつけることができる[4]。この通信方式は、しばしば「送りっぱなし(Fire-and-Forget)」と表現される[5]。
UDPフラッド攻撃は、前述したUDPプロトコルの特性、特にコネクションレスである点を悪用したDoS/DDoS攻撃の一種である[6]。攻撃者は、標的となるサーバやネットワーク機器に対し、送信元IPアドレスをスプーフィングした大量のUDPパケットを、意図的にランダムな宛先ポートに送りつける。
この攻撃の目的は、標的のリソースを枯渇させることにある。大量のUDPパケットを受信したサーバは、その一つ一つに応答しようと試みる過程でCPUやメモリといった処理リソースを消費し、同時にネットワーク帯域も飽和状態に陥る。最終的に、サーバは正規のユーザーからのリクエストを処理できなくなり、サービス提供が不能な状態、すなわちサービス妨害が引き起こされる[7]。
UDPの設計思想そのものが、この攻撃を非常に容易かつ効果的なものにしている。接続確立が不要であるため、攻撃者は自身の身元を偽装しながら、極めて少ないリソースで一方的なデータの洪水を発生させることができる[3]。これは、セッション状態を維持するためにある程度の対話が必要となるTCPベースの攻撃とは対照的であり、UDPフラッド攻撃の危険性の一因となっている[8]。
Remove ads
UDPフラッド攻撃の技術的メカニズムと類型
要約
視点
攻撃プロセス
UDPフラッド攻撃がサービス停止を引き起こすプロセスは、以下のステップに分解できる。
- パケットの送信: 攻撃者は、マルウェアに感染させて遠隔操作可能にした多数のデバイス群であるボットネットを利用することが多い[9]。これらのボットから、標的サーバのランダムなポートに対し、送信元IPアドレスを偽装したUDPパケットが大量に、かつ高速に送信される。
- サーバの応答処理: 標的サーバのオペレーティングシステム (OS) は、着信したUDPパケットを受け取ると、そのパケットで指定されている宛先ポート番号で待機しているアプリケーションが存在するかどうかを確認する[10]。
- アプリケーション不在の確認: 攻撃パケットは意図的にランダムなポートを宛先としているため、ほとんどの場合、そのポートで待機しているアプリケーションは存在しない[10]。
- ICMPエラー応答の生成: OSは、指定されたポートにアプリケーションが存在しないことを確認すると、送信元(と偽装されたIPアドレス)に対して宛先到達不能を通知するためのICMPパケットを生成し、返信する[10]。
- リソースの枯渇: この一連の処理が、毎秒何十万、何百万と送りつけられるUDPパケットのそれぞれに対して実行される。この反復処理がサーバの計算リソースを著しく消費する[1]。同時に、大量のUDPパケットの着信と、それに対するICMPパケットの返信が、サーバに接続されたネットワーク回線の帯域幅を上下両方向で飽和させる[11]。
主な攻撃類型
ランダム・ポート・フラッド (Random Port Flood)
フラグメント攻撃 (UDP Fragmentation Attack)
攻撃の増幅と分散
リフレクション・増幅攻撃 (Reflection/Amplification Attack)
ボットネットの利用
- 攻撃は、マルウェアに感染させて乗っ取った何千、何万というデバイス(PC、サーバ、IoT機器)で構成される「ボットネット」から一斉に行われるのが一般的である。攻撃元が世界中に分散しているため、特定のIPアドレスからのアクセスを遮断するといった単純な防御策では効果がなく、防御を著しく困難にしている[3]。
Remove ads
防御・緩和戦略
基本的な防御策
ファイアウォール
次世代ファイアウォール (NGFW) は、より高度なDDoS防御機能を提供する。攻撃パケットに共通する特徴(デバイス・フィンガープリント)を認識して選択的に破棄するフィンガープリントフィルタリングや、機械学習を用いて異常な通信パターンを動的に検知し、未知の攻撃にも対応する技術がある[13]。パロアルトネットワークスなどが提供するZone Protection機能は、ネットワークを論理的な「ゾーン」に分割し、ゾーン単位で多層的な防御を適用する[14]。
クラウドベースのDDoS保護サービス
数百Gbpsからテラビット級の大規模なボリューム型攻撃に対しては、オンプレミスの防御策だけでは限界がある。組織が契約しているインターネット回線の帯域幅自体が攻撃トラフィックによって飽和してしまうためである。この問題を解決するのが、Akamai Prolexic、Cloudflare Magic Transitなどの専門ベンダーが提供するクラウドベースのDDoS保護サービスである[7]。これらのサービスは、組織のトラフィックを、ベンダーが世界中に分散配置した巨大なデータセンター群(スクラビングセンター)に迂回させ、そこで悪意のある攻撃トラフィックをフィルタリング(洗浄)し、クリーンになった正規のトラフィックだけを組織のデータセンターに転送する[7]。
攻撃ツール・例など
Low Orbit Ion Cannon (LOIC)
Low Orbit Ion Cannon (LOIC) は、元々はネットワークの負荷試験用に開発されたが、その手軽さからDDoS攻撃に広く悪用されてきたツールである[7]。シンプルなGUIを備え、専門知識がなくてもUDPフラッド攻撃などを容易に開始できる。複数のユーザーが連携して一斉攻撃を行う「Hivemind」モードも特徴的である。しかし、基本的なLOICには匿名化機能がなく、使用者のIPアドレスが記録されるため、多くの使用者が法執行機関によって逮捕されている[15]。
Operation Payback
2010年、ハクティビストやアノニマスによって起こされた「Operation Payback」である。内部告発サイトウィキリークスへの寄付金の取り扱いを停止したPayPal、マスターカード、Visaなどへの報復として、支持者たちがLOICを用いて大規模なDDoS攻撃を実行した。この攻撃により標的企業のサービスは大きな混乱に見舞われたが、LOICの匿名性の欠如から、後日多数の参加者が逮捕・訴追された[15][16]。
MiraiボットネットによるDynへの攻撃
2016年10月21日、Twitter、Amazon、Netflix、PayPalなどが利用している大手DNSプロバイダDynへ、大規模なDDos攻撃が行われた。この攻撃の主役は、マルウェア「Mirai」に感染した無数のIoTデバイス(監視カメラ、ルーターなど)であった[17]。Miraiは、セキュリティの甘いIoTデバイスに自動的に感染を広げ、巨大なボットネットを形成していた。このMiraiボットネットはDynに向けられ、ピーク時には1Tbpsを超えるとされるTCPおよびUDPフラッド攻撃を実行した[18]。DNSサービスが麻痺した結果、Dynを利用していたTwitter、Amazon、Netflix、PayPalなど世界中の主要インターネットサービスが広範囲で利用不能となった[18]。この事件は、セキュリティ対策が不十分なIoTデバイスが、いかに強力なサイバー兵器になりうるかという現実を全世界に突きつけ、攻撃後、Dynは多くの顧客を失ったとされる[19]。
Remove ads
脚注
関連項目
Wikiwand - on
Seamless Wikipedia browsing. On steroids.
Remove ads