Smurf DDoS攻撃

Smurf攻撃シナリオ

実行方法から見ると、ping攻撃に非常に近いように見えます。しかし、攻撃対象となる機能に違いがあります。通常、攻撃者はping（ICMPエコー）を送信し、サーバの自動応答を利用します。このとき、対象サーバがカバーする帯域幅を超える量で送信されます。

SMURF攻撃の技術的な部分をより深く理解するため、仕組みを以下に分解して説明します:

1. 攻撃用マルウェアであるSMURFは偽のpingを生成するために用いられます。このpingには必ず送信元が必要なため、攻撃者は正規に見える偽の送信元を作り出します。

2. 生成されたpingは、IPがパケットを放送するネットワークに送信され、仲介役となります。

3. このネットワークは、周囲の全デバイスへ自動的に送信されます。

4. 通常のホストとサーバの応答と同様に、全ネットワークが偽の送信元アドレスへ応答を返します。

5. 同時に多数の応答が送られると、対象サーバは正常に動作できなくなります。

pingの量を決定づけるのは、攻撃者が仲介として利用するIPのブロードキャスト仕組みです。攻撃対象のサーバが受ける応答の数は、IPの仕組みの容量に比例します。つまり、ブロードキャストで2000のネットワークに送信されれば、対象サーバは2000のネットワークから応答を受け取ります。

Smurf DDoS攻撃の種類

これらは実行の複雑さに応じて分類され、基本攻撃と高度攻撃の2種類に分けられます。

基本攻撃 – このタイプでは、攻撃対象のネットワークが大量のpingリクエストにさらされます。攻撃に用いられるパケットは、偽の送信元を持ち、対象ネットワークのブロードキャスト仕組みに連動しています。ブロードキャストによって各デバイスから発される応答が、対象ネットワークの機能を失わせます。すべてはブロードキャストが正しく行われることに依存しており、パケットが適切に拡散されなければ攻撃は成立しません。

高度なSmurf攻撃 – このタイプでは、攻撃により第三者が副次的な被害を受ける場合があります。これらの被害者は第三者被害者と呼ばれます。この手法は、第三者被害者を攻撃の送信元として組み込むことで成り立っています。これにより、攻撃者はインターネット経路の安定性を利用して攻撃を途切れさせることなく継続でき、初期の標的と連動する特定のシステムへアクセスする狙いもあります。結果として、攻撃対象だけでなく、インターネットの広い範囲に影響が及びます。

‍

Smurf攻撃の防止

Smurf攻撃の対策は、複雑な手法や派手な措置を必要としません。ping（ICMPパケットリクエスト）のフィルタリングと過剰なリソースの確保という方法を組み合わせ、管理者は偽装された送信元からのリクエストを識別し、サーバの通常機能に支障をきたすことなく除去できます。

攻撃発生時には、以下の被害対策手順を実施してください:

1. 攻撃対象のシステムやサーバが、ブロードキャスト仕組みからのリクエストを受け取らないよう直ちに制限し、サーバに負荷解消の時間を与えます。

2. その後、ホストの設定を変更して、攻撃とみなされるリクエストに応答しないようにします。

結論

標準的なネットワークセキュリティ手法では、これらの攻撃に十分対処できない場合があります。しかし、管理者としては、そのような事態を防ぐための監視体制を整えることが重要です。

記事「DDoS攻撃の対策方法」をご一読ください。