8. Security Considerations (セキュリティに関する考慮事項)

8. Security Considerations (セキュリティに関する考慮事項)

この Path MTU Discovery メカニズムにより, 2 つのサービス拒否攻撃が可能になります。どちらも, 悪意のある当事者がインターネットホストに偽の Datagram Too Big メッセージを送信することに基づいています。

最初の攻撃では, 偽のメッセージは実際よりもはるかに小さい PMTU を示します。これはデータフローを完全に停止すべきではありません。なぜなら, 被害ホストは PMTU 推定値を絶対最小値以下に設定すべきではないからです。しかし, データグラムあたり 8 オクテットの IP データでは, 進行が遅い可能性があります。

もう 1 つの攻撃では, 偽のメッセージは実際よりも大きい PMTU を示します。これが信じられた場合, 被害者が送信するデータグラムが一部のルータによって破棄されるため, 一時的なブロッキングが発生する可能性があります。1 ラウンドトリップ時間内に, ホストはその誤りを発見します (そのルータから Datagram Too Big メッセージを受信します) が, この攻撃を頻繁に繰り返すと大量のデータグラムが破棄される可能性があります。ただし, ホストは Datagram Too Big メッセージに基づいて PMTU の推定値を上げるべきではないため, この攻撃に対して脆弱であるべきではありません。

悪意のある当事者が被害者が正当な Datagram Too Big メッセージを受信することを阻止できる場合も問題を引き起こす可能性がありますが, この場合はより簡単なサービス拒否攻撃が利用可能です。