リフレクタ攻撃
リフレクタ攻撃とは
リフレクタ攻撃(リフレクション攻撃、amp攻撃)とは、大量のパケットをサーバに送りつけて、サービスを行えないようにするDoS(DDoS)攻撃の1つです。
送信元IPアドレスを攻撃対象サーバに偽装してサービスに送信し、攻撃対象に大量の応答パケットを送り付ける攻撃です。
狙われやすいサービスはDNS、NTP、memcachedです。
いずれのサービスを狙うにせよ、基本的な手法は同じです。
リフレクタ攻撃の例
DNSリフレクタ攻撃
- 攻撃者はbotを遠隔操作します。
- botからDNSキャッシュサーバ宛に、送信元IPアドレスを攻撃対象サーバに偽装したDNS問合せを送ります。
- 攻撃対象サーバに大量のDNS問合せ応答が送られサービスを行えないようにします。
DNSリフレクタ攻撃を防ぐには
- DNSサーバをDNSキャッシュサーバとDNSコンテンツサーバに分離する。
- DNSキャッシュサーバにはインターネット側からアクセスできないようにする。
NTPリフレクタ攻撃
- 攻撃者はbotを遠隔操作します。
- botからNTPサーバ宛に、送信元IPアドレスを攻撃対象サーバに偽装したリクエストを送ります。
- 応答データを大きくするために、リクエストは状態確認機能であるmonlistを利用します。
- 攻撃対象サーバに大量の応答パケットが送られサービスを行えないようにします。
※攻撃対策としては、NTPサーバのmonlistを無効にします。
memcachedリフレクタ攻撃
memcachedサーバとは、データベースへの問い合わせ結果をキャッシュし、動的ウェブアプリケーションを高速化するものです。
- 攻撃者はbotを遠隔操作します。
- botからmemcashedサーバ宛に、送信元IPアドレスを攻撃対象サーバに偽装したリクエストを送ります。
- 攻撃対象サーバに大量の応答パケットが送られサービスを行えないようにします。