ICMP フラッド攻撃を検出してネットワークを保護する方法

ICMP フラッド攻撃は、インターネット制御メッセージ プロトコル (ICMP) を使用してターゲット システムを要求で圧倒するサービス拒否 (DoS) 攻撃の一種です。サーバーと個々のワークステーションの両方をターゲットにするために使用できます。

ICMP フラッド攻撃から保護するには、それが何であり、どのように機能するかを理解することが重要です。

ICMP フラッド攻撃とは

ping フラッド攻撃またはスマーフ攻撃とも呼ばれる ICMP フラッド攻撃は、攻撃者が過剰な量の Internet Control Message Protocol (ICMP ) エコー要求パケット。これらのパケットはターゲット デバイスを圧倒するために立て続けに送信され、それによって正規のトラフィックを処理できなくなります。このタイプの攻撃は、マルチベクトル攻撃の一部として、他の形式の DDoS 攻撃と組み合わせて使用​​されることがよくあります。

ターゲットは、サーバーまたはネットワーク全体のいずれかです。これらの要求の膨大な量により、ターゲットが圧倒され、正当なトラフィックを処理できなくなったり、サービスが中断したり、完全なシステム障害が発生したりする可能性があります。

ほとんどの ICMP フラッド攻撃では、「スプーフィング」と呼ばれる手法が使用されます。この手法では、攻撃者は、信頼できるソースから送信されたように見えるスプーフィングされた送信元アドレスを使用してターゲットにパケットを送信します。これにより、ターゲットが正当なトラフィックと悪意のあるトラフィックを区別することが難しくなります。

なりすましによって、攻撃者は大量の ICMP エコー要求をターゲットに送信します。各要求が受信されると、ターゲットには ICMP エコー応答で応答する以外に選択肢がありません。これにより、ターゲット デバイスがすぐに圧倒され、応答しなくなったり、クラッシュしたりする可能性があります。

最後に、攻撃者は ICMP リダイレクト パケットをターゲットに送信して、ルーティング テーブルをさらに妨害し、他のネットワーク ノードと通信できなくする可能性があります。

ICMP フラッド攻撃を検出する方法

ICMP フラッド攻撃が進行中であることを示す特定の兆候があります。

1. ネットワーク トラフィックの急激な増加

ICMP フラッド攻撃の最も一般的な兆候は、ネットワーク トラフィックの急激な増加です。これには、多くの場合、単一の送信元 IP アドレスからの高いパケット レートが伴います。これは、ネットワーク監視ツールで簡単に監視できます。

2.異常に高いアウトバウンド トラフィック

ICMP フラッド攻撃のもう 1 つの兆候は、ターゲット デバイスからの異常に高いアウトバウンド トラフィックです。これは、多くの場合、元の ICMP 要求よりも多くのエコー応答パケットが攻撃者のマシンに送り返されるためです。ターゲット デバイスで通常よりもはるかに高いトラフィックに気付いた場合は、進行中の攻撃の兆候である可能性があります。

3. 単一の送信元 IP アドレスからの高いパケット レート

攻撃者のマシンは、多くの場合、1 つの送信元 IP アドレスから非常に多くのパケットを送信します。これらは、ターゲット デバイスへの着信トラフィックを監視し、異常に大きなパケット カウントを持つ送信元 IP アドレスを持つパケットを探すことで検出できます。

4. ネットワーク遅延の継続的なスパイク

ネットワーク遅延は、ICMP フラッド攻撃の兆候である可能性もあります。攻撃者のマシンが標的のデバイスに送信するリクエストの数が増えるにつれて、新しいパケットが宛先に到達するまでの時間が長くなります。これにより、ネットワーク遅延が継続的に上昇し、適切に対処しないと、最終的にシステム障害につながる可能性があります.

5. ターゲット システムの CPU 使用率の増加

ターゲット システムの CPU 使用率も、ICMP フラッド攻撃の兆候である可能性があります。ターゲット デバイスに送信されるリクエストの数が増えるにつれて、CPU はそれらすべてを処理するために、より多くの作業を強いられます。これにより、CPU 使用率が急激に上昇し、チェックしないままにしておくと、システムが応答しなくなったり、クラッシュすることさえあります。

6. 正当なトラフィックのスループットが低い

最後に、ICMP フラッド攻撃によって、正当なトラフィックのスループットが低下することもあります。これは、攻撃者のマシンから送信される膨大な量のリクエストが原因で、ターゲット デバイスが圧倒され、他の着信トラフィックを処理できなくなります。

ICMP フラッド攻撃が危険な理由

ICMP フラッド攻撃は、ターゲット システムに重大な損害を与える可能性があります。ネットワークの輻輳、パケット損失、遅延の問題が発生し、通常のトラフィックが宛先に到達できなくなる可能性があります。

さらに、攻撃者は、システムのセキュリティの脆弱性を悪用して、標的の内部ネットワークにアクセスできる可能性があります。

それ以外にも、攻撃者は、大量の未承諾データを送信したり、他のシステムに対して分散型サービス拒否 (DDoS) 攻撃を開始したりするなど、他の悪意のあるアクティビティを実行できる可能性があります。

ICMP フラッド攻撃を防ぐ方法

ICMP フラッド攻撃を防ぐために実行できる対策がいくつかあります。

• レート制限: レート制限は、ICMP フラッド攻撃を防止するための最も効果的な方法の 1 つです。この手法では、一定期間内にターゲット デバイスに送信できる要求またはパケットの最大数を設定します。この制限を超えるパケットは、ファイアウォールによってブロックされ、宛先に到達できなくなります。
• ファイアウォールおよび侵入検知および防止システム: ファイアウォールおよび侵入検知および防止システム (IDS/IPS) を使用して、ICMP フラッド攻撃を検出および防止することもできます。これらのシステムは、ネットワーク トラフィックを監視し、異常に高いパケット レートや単一ソース IP アドレスからの要求などの疑わしいアクティビティをブロックするように設計されています。
• ネットワークのセグメント化: ICMP フラッド攻撃から保護するもう 1 つの方法は、ネットワークをセグメント化することです。これには、内部ネットワークをより小さなサブネットに分割し、それらの間にファイアウォールを作成することが含まれます。これにより、サブネットの 1 つが侵害された場合に攻撃者がシステム全体にアクセスするのを防ぐことができます。
• 送信元アドレスの検証: 送信元アドレスの検証は、ICMP フラッド攻撃から保護するもう 1 つの方法です。この手法では、ネットワークの外部から送信されたパケットが、送信元であると主張している送信元アドレスから実際に送信されていることを確認します。この検証に失敗したパケットは、ファイアウォールによってブロックされ、宛先に到達できなくなります。

ICMP フラッド攻撃からシステムを保護

ICMP フラッド攻撃は、ターゲット システムに重大な損害を与える可能性があり、より大規模な悪意のある攻撃の一部としてよく使用されます。

幸いなことに、レート制限、ファイアウォールと侵入検知および防止システムの使用、ネットワークのセグメンテーション、送信元アドレスの検証など、この種の攻撃を防ぐために実行できる対策がいくつかあります。これらの対策を実装することで、システムのセキュリティを確保し、潜在的な攻撃者から保護することができます。