ハッカーたちは長い間このサイバー攻撃を利用してきました。現在、インターネットプロバイダーはこの攻撃を防ぐための手段を増やしていますが、依然としてこの攻撃は健在です。この記事では、IPフラグメンテーション攻撃の仕組みや、攻撃を防ぐ方法について解説します。
IPパケットを中継する際、最大転送単位(MTU)より大きいパケットはいくつかに分割して送信されます。これをフラグメンテーションといいます。
IPフラグメンテーション攻撃を理解するには、IPフラグメンテーション、さらにはパケットスイッチングを理解する必要があります。ここからは、それぞれを詳しく説明します。
ほとんどのデバイスは、データを特定のサイズのIPパケットで送信します。これをパケットスイッチングといいます。
パケットスイッチングには、コネクション型とコネクションレス型があります。コネクション型のパケットスイッチングは、あらかじめ決められた順序でデータを配信・受信し、事前に通信経路を確立しておきます。
一方、コネクションレス型のパケットスイッチングでは、すべてのデータパケットが自立していて、あらかじめ決められた経路ではなく、独立してルーティングされます。このようなパケットはデータグラムと言われていて、このデータグラムはランダムな順序で移動します。コネクションレス型のパケットスイッチングは、構造化されていない通信方法のため、サーバーへの攻撃に利用されることがあります。
IPフラグメンテーションとは、データグラムをパケットと呼ばれる情報の小さな塊に分割して送信するためのプロセスです。パケットは、受信側が処理してデータを正常に転送するために、特定のサイズである必要があります。
受信側は、これらのパケットを再構成し、データを理解します。データグラムが大きすぎる場合、サーバーはそのデータグラムを廃棄するか、パケットを再フラグメントすることができます。
IPフラグメンテーション攻撃とは、IPフラグメンテーションを利用して、サービスを停止させたり、デバイスを無効にしたりする攻撃のことです。そのため、サービス妨害攻撃(DDoS攻撃)として考えられています。DDoS攻撃は、IPアドレスがばれることによるデメリットのひとつです。
IP フラグメンテーション攻撃にはさまざまな種類がありますが、一般的には、ハッカーは再構成が不可能なデータグラムを送信します。それには、サーバーのリソースを悪用し、本来行うべき処理を実行できなくするという目的があります。
以下は、最も広く使用されているIPフラグメンテーション攻撃の種類です。
すべてのIPパケットは、ヘッダーとペイロードで構成されています。ヘッダーにはパケットを目的地に導く情報が含まれ、ペイロードには目的地に向けて運ぶデータの本体が含まれます。
タイニーフラグメント攻撃は、極小のパケットフラグメントがサーバーに侵入した場合に発生します。これは、フラグメントのうちのひとつが、自身のヘッダーを収めることができないほど小さい場合に起こります。そのパケットのヘッダーの一部が新しいフラグメントとして送信されることにより、再構築の問題が発生し、サーバーが停止することがあります。
これは、サーバーにサイズの大きい偽のUDPやICMPパケットを転送するという攻撃です。この攻撃の犠牲になると、サーバーのリソースに負荷がかかり、本来の動作ができなくなります。
ティアドロップ攻撃(Teardrop Attack)とも呼ばれるこの攻撃はサービス妨害攻撃(DDoS攻撃)の一種で、ハッカーは再構成できないように設計されたパケットを使用します。
適切な保護をしなければ、これらのパケットを処理できずにOSがフリーズしたりクラッシュしたりします。
IPフラグメンテーション攻撃のリスクを最小限に抑えるには、以下のような方法があります。
しかし、モバイル機器などでもフラグメントIPパケットを使用しているケースがあるため、無効にすると、トラフィックに障害が発生する可能性があります。
IPアドレスが簡単に変更できるNordVPNは、30日間返金保証付きでリスクフリー。
NordVPNを購入