PING of Death - 通信用語の基礎知識

巨大なping(ICMP ECHO)パケットを送信することでサービスを停止させる攻撃。

今では歴史的に古い攻撃手法となるが、日々新たに作られるIPの実装においては、意図せずバグとして含んでしまうこともあり、注意が必要な事項である。

概要

pingつまりICMPはIP上のアプリケーションプロトコルである。そして、IPパケットの最大長は65,536バイトである。

これを超える長さのパケットを受信すると、実装によってはサービスを停止する。これを利用し、pingによって65536バイトより長いIPパケットを送信し、対象に対してサービス妨害(DoS)攻撃を行なうことをPING of Deathという。

手法

手法は極めて簡単である。Windowsでも、古いping.exeでは、次のようにして行なえた。

ping -l 65550 hostname

現在提供されているping.exeは、サイズは65500が最大となり、物理的にPING of Deathができないようになっている。

FreeBSDでは -s オプションでサイズが指定可能なようだが、スーパーユーザー権限が必要で、一般ユーザーは利用出来ないようだ。

対策

Microsoft WindowsやMac OSはもちろん(?)のこと、各種ルーターやネットワークプリンター、そしてFreeBSDやLinuxなどでも発生したことから、大問題となった。

現在では、殆どのシステムにおいて、対策が講じられている。セキュリティシステムにおいては、巨大なPINGパケットを確認したときにはそれをPING of Death攻撃と認識し、ログに記録するものもある。

リンク