TCP DDoS攻撃 防御
TCPフラグメントフラッド攻撃に対する防御
※ティアドロップ攻撃は別途対応あります。
攻撃説明
通常のネットワークトラフィックでは、TCPフラグメンテーションは稀です。 ネットワークに多数のTCPフラグメントが存在する場合は、DDoS攻撃が行われている可能性があります。 攻撃者は大量のTCPフラグメントをターゲットに送信し、通常は次の危険を引き起こします。
- 多くのTCPフラグメントが帯域幅リソースを占有します。 その結果、被害者は対応が遅いか、対応に失敗します。
- ネットワークアプライアンスまたはサーバーが多数のTCPフラグメントを受信し、フラグメントの再構成を実行します。これにより、ネットワークデバイスまたはサーバーのパフォーマンスが低下したり、正しく機能しなくなったりする可能性があります。
防御原則
TCPフラグメントを再構成します。
ASFでの操作
ネットワークDDoSプロファイルにTCPフラグメントフラッド防御ルールを設定します。
ティアドロップ攻撃(Teardrop Attacks :TCP Fragment Flood)は、重複したオーバーサイズのTCPフラグメントを標的機器に送信する攻撃。 サーバがパケットを組み立てようとすると、これらの”でたらめ”になったパケットは、サーバをクラッシュさせる可能性を持っています