TCP DDoS攻撃 防御

TCPフラグメントフラッド攻撃に対する防御

※ティアドロップ攻撃は別途対応あります。

攻撃説明

通常のネットワークトラフィックでは、TCPフラグメンテーションは稀です。 ネットワークに多数のTCPフラグメントが存在する場合は、DDoS攻撃が行われている可能性があります。 攻撃者は大量のTCPフラグメントをターゲットに送信し、通常は次の危険を引き起こします。

  • 多くのTCPフラグメントが帯域幅リソースを占有します。 その結果、被害者は対応が遅いか、対応に失敗します。
  • ネットワークアプライアンスまたはサーバーが多数のTCPフラグメントを受信し、フラグメントの再構成を実行します。これにより、ネットワークデバイスまたはサーバーのパフォーマンスが低下したり、正しく機能しなくなったりする可能性があります。

防御原則

TCPフラグメントを再構成します。

ASFでの操作

ネットワークDDoSプロファイルにTCPフラグメントフラッド防御ルールを設定します。

ティアドロップ攻撃(Teardrop Attacks :TCP Fragment Flood)は、重複したオーバーサイズのTCPフラグメントを標的機器に送信する攻撃。 サーバがパケットを組み立てようとすると、これらの”でたらめ”になったパケットは、サーバをクラッシュさせる可能性を持っています