セキュリティ

近年増加中のDDoS攻撃の一種である「パケットレート攻撃」とは?


DDoS攻撃は複数のマシンから膨大な量のデータをターゲットに送信し、ウェブサイトやサーバーを処理不能な状態に追い込むサイバー攻撃手法です。そんなDDoS攻撃の多くは、使用可能な帯域幅を枯渇させる「帯域幅消費型」に分類されますが、近年は「パケットレート攻撃」と呼ばれる手法も増えているとして、クラウドコンピューティングサービスを展開するOVHCloudでコンピューターセキュリティインシデント対応チーム長を務めるセバスチャン・メリオ氏が、その手法について解説しています。

The Rise of Packet Rate Attacks: When Core Routers Turn Evil - OVHcloud Blog
https://blog.ovhcloud.com/the-rise-of-packet-rate-attacks-when-core-routers-turn-evil/


DDoS攻撃は長年にわたり、オンラインサービスの可用性に影響を及ぼし続けてきました。複数のアクターがIoTデバイスやルーターにマルウェアを仕込んだり、脆弱(ぜいじゃく)性を悪用したりしてボットネットの軍隊を作り上げ、DDoS攻撃を仕掛けています。

ほとんどのDDoS攻撃は、帯域幅を圧倒するために大量のゴミデータを送信するネットワーク層の攻撃か、大量のアプリケーションリクエストを送信してCPUやメモリを過剰に使用させるアプリケーション層の攻撃に分けられます。しかし、これ以外にもDDoS攻撃の手法はいくつか存在しており、そのうちのひとつが「パケットレート攻撃」と呼ばれる手法です。

インターネットで送受信されるデータはパケットと呼ばれる単位に分割され、受信側のシステムは各パケットのヘッダーに含まれる送信元IPアドレスや送信先IPアドレスなどを処理する必要があります。パケットレート攻撃は、帯域幅を圧倒するような膨大なデータを送りつける代わりに、「大量の小さなパケット」をターゲットへ大量に送り付けるという手法だとのこと。


一般的に、「大きくて数が少ないパケット」を処理するよりも、「小さいが数が多いパケット」を処理する方がコンピューティングコストが高いといえます。たとえば、ソフトウェアを使用してパケットを処理する場合、各パケットは少なくともひとつのメモリにアクセスすることを意味しています。また、ハードウェアを使用する場合でも、パケットレートが高いと大きな負荷がかかります。そのため、パケットのヘッダーを処理するシステムの場合、帯域幅ではなく「パケットレート」がハードウェアの制限になるというわけです。

パケットレート攻撃の目的は、使用可能な帯域幅を枯渇させるのではなく、宛先に近いネットワークデバイスのパケット処理エンジンに過負荷をかけることです。一般的には、標的サービスの手前にあるロードバランサーやDDoS対策システムなどを機能不全に陥れ、関連する大規模なインフラストラクチャーに巻き添え被害を与えるとメリオ氏は説明しています。


パケットレート攻撃は新しいものではありませんが、長らくパケットレート攻撃の規模は100Mppsをはるかに下回るものが多かったのが、過去18カ月間で100Mppsを超える攻撃が急増しているとのこと。特に2024年4月には、これまでに記録された最高値を上回る840Mppsに達する記録的なパケットレート攻撃も起きたそうです。

OVHCloudはこれらのパケットレート攻撃の影響を緩和すると同時に、どのようなIPアドレスから攻撃が行われたのかについても分析しています。その結果、OVHCloudが分析したパケットレート攻撃ではパケットの3分の2がアメリカにあるわずか4つのPoPから侵入しており、攻撃アクターが少数のピアリングを介して巨大なパケットレートを送信する能力を持っていることがわかりました。

また、100Mpps~500Mppsにわたる約100件のパケットレート攻撃を手動で分析したところ、多くの攻撃はそれほど多くないIPアドレスから行われていることも判明。特に多くのパケットレートを生成した問題のある上位70件のIPアドレスを調査すると、大部分がMikroTik製のルーターであり、構成ウェブページをインターネット上で公開していることが確認されました。

MikroTik製ルーターのOSであるRouterOSでは、過去数年間にいくつかの重大な脆弱性が報告されていることから、攻撃アクターは脆弱性や不適切な管理インターフェースを悪用して、これらのルーターをパケットレート攻撃に使用している可能性があるとのこと。また、RouterOSに存在する「帯域幅テスト」機能が、DDoS攻撃に応用しやすいことも理由かもしれないとメリオ氏は指摘しています。

この記事のタイトルとURLをコピーする

・関連記事
スマート歯ブラシすらDDoS攻撃に悪用される可能性があると専門家が警告 - GIGAZINE

インターネットアーカイブがDDoS攻撃を受けてサービスのほとんどが一時停止に追い込まれる - GIGAZINE

NATO加盟後にスウェーデンへのDDoS攻撃が466%急増していたことがCloudflareによるDDoS攻撃レポートで発覚 - GIGAZINE

DDoS攻撃代行サービスを運営していた13ドメインを摘発する「オペレーション・パワーオフ」作戦が実行される - GIGAZINE

DDoS攻撃によってクラウドコンピューティング企業から1500万円もの請求が突然届いたという記録 - GIGAZINE

Twitterにバグがあり自分自身にDDoS攻撃を仕掛けていると専門家が指摘 - GIGAZINE

「HTTP/2ラピッドリセット攻撃」でGoogle Cloudに最大で毎秒3億9800万リクエストのDDoS攻撃があったことが判明 - GIGAZINE

「史上類を見ないレベル」のDDoS攻撃を実行可能と評されるマルウェア「Mirai」を10代の少年3人が構築した経緯とは? - GIGAZINE

in ネットサービス,   セキュリティ, Posted by log1h_ik

You can read the machine translated English article here.