その他IPA試験に出たことのある反射、増幅攻撃を見ていきます。
基本的な攻撃の考え方は同じです。
- 標的となるホストのIPアドレスを取得する
- 送信元に標的のIPアドレスを指定してなりすまし、目的のサーバにアクセスする
- 入力に対して増幅したレスポンスデータが標的のホストに送信され、リソースを圧迫し、サービス不能を引き起こす
NTP増幅攻撃(NTP amplification attack)
NTP(Network Time Protocol)はネットワーク上のコンピューターや機器の時刻を正確に同期させるためのプロトコルです。古いNTPサーバーが持つmonlist(監視情報一覧)機能を悪用します。これはサーバが直近に交信した通信相手のリストを取得するコマンドですが、応答のデータが大きくなります。
攻撃者は標的となるホストのIPアドレスを送り元として、NTPサーバにmonlist要求を行います。
SNMP増幅攻撃(SNMP amplification attack)
SNMP(Simple Network Management Protocol)はルーター、スイッチ、サーバーなどのネットワーク機器の状態を監視・管理するためのプロトコルです。このプロトコルの応答はリクエストに比べて1,000倍以上にも増えることがあり、攻撃者はこれを利用します。
Memcached増幅攻撃(Memcached amplification attack)
Memcachedは分散型メモリキャッシュシステムで、キー・バリュー型のデータを保持します。Webサービスでは認証情報やセッションデータのキャッシュのため使用します。データベースアクセスを減らしてパフォーマンスを向上を行います。
こちらも応答のデータ量は大きくなるので、攻撃者はそれを利用します。
その他にもさまざまな反射,増幅攻撃は確認されており、トラフィックの監視など対応が必要になっています。