インターネットイニシアティブ(IIJ)は3月8日,送信元IPアドレスの正当性を確認する仕組み「Source Address Validation」を,同社の法人および個人向けインターネット接続サービスのすべてに導入することを発表した。これにより,アドレスを偽装した不正なパケット(例えば,DDoS攻撃のパケット)の流入を防ぐ。4月から,各接続サービスに順次導入する予定。
【3月8日おわびと訂正】当初,「いくつかの接続サービスでは既に導入済み。4~5月には,ほとんどのサービスにおいて導入を開始する予定」と記述しましたが誤りです。訂正しておわびいたします。 【以上,3月8日おわびと訂正】
近年,ウイルスやボットの多くは,感染を広げるパケットやDDoS攻撃などのパケットの送信元IPアドレスを偽装するようになっている。このため,これらのパケットがネットワークに流入した後に,その送信元を特定することが難しくなっているという。
そこでIIJでは,不正なパケットの流入を未然に防ぐために,Source Address Validationの導入を開始した。Source Address Validationは,「Ingress Filtering」とも呼ばれる。RFC2827やRFC3704などにまとめられ,導入が推奨されている。
実現方法としては,ACL(Access Control List)によるパケット・フィルタと,ルーターのルーティングの仕組みを使ったパケット・フィルタ技術であるuRPF(unicast reverse path forwarding)の2つを利用する。
ACLは,ネットワークに流入してもよい送信元IPアドレスのリストをルーターなどのインタフェースごとに適用してフィルタリングを実施する手法。uRPFは,流入する送信元IPアドレスが本来の経路をたどってきたかどうかを,経路情報と比較して検証する手法である(関連記事)。これらを組み合わせることで,不正なパケットを効率的に遮断できるという。
◎参考資料
◆IIJ,全接続サービスにおいて「Source Address Validation (送信元検証)」を導入(プレスリリース)
