問題文
ICMP Flood攻撃に該当するものはどれか。
ア HTTP GETリクエストを繰り返し送ることによって,攻撃対象のサーバにコンテンツ送信の負荷を掛ける。
イ pingコマンドを用いて大量の要求パケットを発信することによって,攻撃対象のサーバに至るまでの回線を過負荷にしてアクセスを妨害する。
ウ コネクション開始要求に当たるSYNパケットを大量に送ることによって,攻撃対象のサーバに,接続要求ごとに応答を返すための過大な負荷を掛ける。
エ 大量のTCPコネクションを確立し,攻撃対象のサーバに接続を維持させ続けることによって,リソースを枯渇させる。
解説
イ
ア:HTTP GETリクエストを繰り返し送る攻撃
これは HTTP Flood攻撃 の説明です。
Webサーバに対して大量のHTTPリクエストを送信することで、コンテンツ生成や送信処理に過大な負荷を与え、正規の利用者がサービスを利用できなくする攻撃です。]
ICMP Floodとは異なり、アプリケーション層(L7)の攻撃にあたります。
イ:pingコマンドを用いて大量の要求パケットを発信し,回線を過負荷にする攻撃
これが ICMP Flood攻撃 の説明です。
ICMP Echo Request(ping)パケットを大量に送りつけることで、対象サーバやネットワーク経路の帯域を圧迫し、サービス不能状態を引き起こします。
攻撃対象はサーバそのものだけでなく、サーバまでの回線帯域も含まれるため、回線の過負荷によって正規ユーザからの通信も妨害されます。
ウ:SYNパケットを大量に送ってサーバに負荷をかける攻撃
これは SYN Flood攻撃 の説明です。
TCPの3ウェイハンドシェイクの最初の段階であるSYNを大量に送りつけ、サーバに「半開きコネクション」を抱えさせてリソースを枯渇させます。
ICMP Floodではなく、TCPのコネクション確立処理を悪用した攻撃です。
エ:大量のTCPコネクションを確立し,接続を維持し続ける攻撃
これは Slowloris攻撃やTCP Connection Flood攻撃 に相当する説明です。
Slowlorisは特に Webサーバ(HTTPサーバ) を標的にした攻撃です。
攻撃者は「HTTPリクエストを小分けにして極端に遅いペースで送信」し続けます。サーバ側は「まだリクエストが終わっていない」と認識して接続を開いたまま保持し、結果として多数の接続が使われてリソースが枯渇します。
- 特徴:少ない攻撃マシンでも大きな効果が出せる
- 影響を受けやすいサーバ:Apacheのように接続ごとにスレッドやプロセスを割り当てる方式のWebサーバ
- 結果:新しいHTTP接続を受け付けられなくなる
TCP Connection Floodは、攻撃者が次々と 正規のTCP接続を確立し、長時間維持する 攻撃です。SYN Floodが「接続を完了させない半開き状態」を大量に作るのに対し、TCP Connection Floodは「実際にコネクションを完了させて占有する」点が特徴です。
- 影響:サーバの同時接続数テーブルを埋め尽くす
- 結果:新規ユーザーが接続できなくなる
大量の接続を確立して切断せずに維持し続けることで、サーバの同時接続リソースを消費させます。これもICMPとは無関係です。
