[DoS攻撃] Teardrop攻撃(ティアドロップコウゲキ:Teardrop Attack)

Tadashi Shigeoka ·  Thu, January 26, 2012

Teardrop攻撃(ティアドロップコウゲキ:Teardrop Attack)について調べたメモ。

断片化されたIPパケットをつなぎ合わせる際の、TCP/IPの実装上の問題を突いた攻撃方法。ネットワーク上にデータを転送するとき、ネットワークによって決められている最大伝送単位(MTU)を超えるようなIPパケットは、複数の小さなIPパケットに分割されます。分割されたそれぞれのIPパケットには、分割される前のパケットのどの部分であるかを示すオフセット情報が含まれています。分割されたIPパケットを受け取った側は、このオフセット情報を元にしてIPパケットを組み立て、元のパケットを復元しようとします。  Teardrop攻撃では、このオフセット情報を偽造することにより、オフセットが重複するような不正なIPパケットの断片を作成し、ターゲットとなるコンピュータに送信します。受信した側のコンピュータが、重複したIPパケットの断片をうまく処理できないというTCP/IPの実装上の問題を持っていた場合、システムはクラッシュしてしまうことがあります。この攻撃を防ぐためにはTCP/IPの実装上の問題を修正したパッチを当てる必要があります。

・引用元:Teardrop攻撃(ティアドロップコウゲキ。Teardrop Attack):RBB TODAY (ブロードバンド辞典) はてなブックマーク - Teardrop攻撃(ティアドロップコウゲキ。Teardrop Attack):RBB TODAY (ブロードバンド辞典)

分割されたIPパケット(インターネット上で送受信されるデータの単位)をつなぎ合わせる際の、TCP/IPの脆弱性を突いた攻撃手法。IPパケットに含まれる分割前のオフセットフィールド情報を偽造することで、システムを停止させる。

IPパケットによるデータ転送を行う場合、送信側で規定された最大伝送単位(MTU)を超えるIPパケットは、複数の小さなIPパケットに分割される。この分割されたIPパケットには、分割前のどの部分であるかを示すオフセット値が含まれており、この情報を元に、分割されたIPパケットを受信した側は、データを復元することができる。

Teardrop攻撃は、このオフセット値が重複するような不正なIPパケットの断片を偽造し、受信したPC(攻撃の標的)の処理を混乱させるものだ。TCP/IPのIPフラグメンテーション(断片化)の脆弱性を突くことで、データ再構築時にPCをクラッシュさせたりフリーズさせたりする。

対策としては、矛盾するオフセット値が含まれるデータを破棄するようにTCP/IPの実装を修正したり、TCP/IPの実装上の問題を修正したプログラムを適用するなどの対策が必要だ。

・引用元:Teardrop攻撃とは | 日立ソリューションズの情報セキュリティブログ はてなブックマーク - Teardrop攻撃とは | 日立ソリューションズの情報セキュリティブログ