翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # UDP リフレクション攻撃 UDP リフレクション攻撃UDPは、 がステートレスプロトコルであるという事実を悪用します。攻撃者は、攻撃ターゲットの IP アドレスをUDPソース IP アドレスとしてリストした有効なUDPリクエストパケットを作成できます。攻撃者は、UDPリクエストパケットの送信元 IP を改ざんし、なりすまししました。UDP パケットにはなりすましソース IP が含まれており、攻撃者によって中間サーバーに送信されます。サーバーは、攻撃者の IP アドレスに戻すのではなく、ターゲットの被害者 IP にUDPレスポンスパケットを送信するようにだまされます。中間サーバーは、リクエストパケットよりも数倍大きいレスポンスを生成し、ターゲット IP アドレスに送信される攻撃トラフィックの量を効果的に増幅するため使用されます。 増幅係数はレスポンスサイズとリクエストサイズの比率であり、攻撃者が使用するプロトコルによって異なります。、ネットワークタイムプロトコル (NTP)、Simple Service Directory Protocol ()DNS、Connectionless Lightweight Directory Access Protocol (SSDP)、[Memcached ](https://memcached.org/)、Character Generator Protocol (CLDAP)、または Quote of the Day (CharGen)QOTD。 例えば、 の増幅係数は、元のバイト数の 28~54 倍にDNSすることができます。したがって、攻撃者が 64 バイトのリクエストペイロードをDNSサーバーに送信すると、攻撃者は攻撃ターゲットに 3400 バイトを超える不要なトラフィックを生成できます。UDP リフレクション攻撃は、他の攻撃と比較して、大量のトラフィックに対して責任を負います。次の図は、リフレクションの戦術と増幅効果を示しています。 ![\[UDP リフレクション攻撃を示す図\]](http://docs.aws.amazon.com/ja_jp/whitepapers/latest/aws-best-practices-ddos-resiliency/images/udp-reflection-attack.png) リフレクション攻撃は、攻撃者に「無料の」増幅を提供する一方で、IP スプーフィング機能が必要であり、ネットワークプロバイダーの数が増えるにつれてソースアドレス検証 Everywhere (SAVE) または を採用するため[BCP38](https://www.ietf.org/rfc/bcp/bcp38.html)、この機能は削除され、DDoSサービスプロバイダーはリフレクション攻撃を停止するか、ソースアドレス検証を実装していないデータセンターやネットワークプロバイダーに再配置する必要があることに注意してください。