DoS攻撃の一種、Smurf攻撃をご存知でしょうか?
簡単に言うと、pingコマンドの送信元アドレスを偽造し、大量のICMP Echo Requestパケットを送り付ける攻撃方法です。
詳細はこちら。
Smurf攻撃とは、特定のコンピュータに繋がるかどうか確認する「ping」コマンドで使われるパケットの送信元を偽装し、標的に向けて大量のパケットを送りつける攻撃手法。標的となったコンピュータやその所属するネットワークに過重な負荷をかけ、正常な通信ができない状態に陥らせるDoS攻撃の一種である。
引用元:e-words
これの対策は「ブロードキャスト及びマルチキャストのアドレスを起点とする ICMP ECHO パケットのみを無視する」ことです。
kernelの設定で対応することが可能です。以下のように実行します。
|
1 |
# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts |
恒久的に変更したい場合は、以下の設定を/etc/sysctl.confに追加します。
|
1 |
net.ipv4.icmp_echo_ignore_broadcasts=1 |
「0」が応答許可、「1」が応答無視ですね。
icmp_echo_ignore_all及びicmp_echo_ignore_broadcasts— 各ホストからの ICMP ECHO パケット、もしくはブロードキャスト及びマルチキャストのアドレスを起点とする ICMP ECHO パケットのみを無視することをそれぞれカーネルに許可します。0の値は、カーネルによる応答を許可し、1の値はパケットを無視します。
引用元:redhat