2018/06/14

UDP 増幅による DDoS 攻撃の大規模化

Waterfall,ddos

2018 年 6 月 14 日 編集部記事

分散型サービス拒否(DDoS)攻撃はこの 3 年間で、その規模を確実に拡大してきました。「Memcrashed」と呼ばれる最近のインスタンスでは、DDoS 攻撃の規模のこれまでの記録が塗り替えられ、1.7 Tbps のトラフィックを記録しました。この攻撃は、どのような方法でこれほどの大量トラフィックを発生させたのでしょうか。その手段として使われたのが、UDP 増幅と呼ばれる方法であり、最近の多くの大規模 DDoS 攻撃では、IoT デバイスのボットネットが使われています。ウォッチガードの CTO である Corey Nachreiner が、Cyber Defense Magazine に寄稿した最近のコラムで、UDP 増幅の仕組みとこれらの攻撃が DDoS の大規模化を可能にする理由を説明しました。

UDP 増幅によって DDoS 攻撃がこれほどまでに大規模化する理由の 1 つとして、UDP では、2 つのデバイス間で接続を確立することなく、情報の送信を開始できる点が挙げられます。したがって、UDP パケットを受信したコンピュータは、そのパケットがどこから来たものなのかを、応答を送信する前に検証しません。DDoS 攻撃はこれを悪用し、被害者の IP アドレスをパケットの送信元として使って、UDP 要求をパブリックインターネットサーバに送信します。UDP はコネクションレスであるため、サーバは無条件で、元の要求が攻撃者から送信されたものだったとしても、被害者のコンピュータに応答を送信します。さらに厄介なことに、サイバー犯罪者は、最初の要求よりはるかに大きい応答を送信する UDP サービスを発見しました。Memcrashed 攻撃では、要求の 10,000 ~ 51,000 倍の大きさの応答が生成される、「Memcached」と呼ばれるプロトコルが使われました。

Corey の記事から、UDP 増幅攻撃の仕組みを説明した箇所を抜粋して、以下に紹介します。

「簡単に言えば、UDP 増幅攻撃が成功するのは、なりすまし可能な UDP を使うことで、攻撃者が一般的なパブリックサーバの要求を偽装して被害者に送信できるためであり、UDP サービスによっては、とても小さい要求から指数関数的に大きな応答を生成できるものもあります。UDP サービスごとに要求の特長に若干の相違はあるものの、すべての UDP 増幅攻撃に共通しているのは、基本的には、これら 3 つの問題をまとめて悪用するという点です。」

攻撃者に悪用される可能性のある UDP サービスは多く存在するため、このような攻撃は今後も発生することになるでしょう。ただし、これらの攻撃の対策として、ネットワーク管理者が実行できるいくつかの方法があります。Cyber Defense Magazine の記事全文(英文)で対策のベストプラクティスをお読みいただき、DDoS 攻撃の詳細については、Secplicity のこちらの記事を参照してください。