ACK,FIN,PSHフラッド攻撃
SYNフラッド攻撃同様にTCPの仕組みを利用します。大量の不正なTCPパケット(ACK/FIN/PSH フラグ付き)を送りつけることで、サーバやネットワーク機器のリソースを圧迫し、サービス不能を引き起こそうとするものです。
- ACK(Acknowledgement):データが正常に受信されたことを示す確認応答
- FIN(Finish): TCP接続を正常に終了(クローズ)する際に使われる制御フラグ
- PSHフラグ: TCPパケットのヘッダに含まれるフラグの一つで、プッシュ機能を制御するために使用されます
検知と対策
- IDS/IPS,ファイアウォールによるモニタリング、フィルタリング
- 異常なTCPフラグ付きパケットの急増
- 短時間に大量のACK/FIN/PSH (あるいは不正フラグの組み合わせ) が到達しているかを監視、フィルタ
- ステートテーブルの異常状況/セッションの失敗の多発
- 帯域使用率(BPS)、パケット/秒(PPS)の急激な上昇。特に小さいパケット多数 (ACK/FIN/PSH 等)によるPPSの異常増加
事例
Akamaiが観測した攻撃ベクトルの中にPSH-ACKフラッド、FINプッシュフラッド、PUSHフラッドなどが含まれていたとあります。大量の異なるタイプのフラッド(UDP、UDP フラグメンテーション、TCP異常、PSH-ACKフラッド)が同時に実施された事例