1. Introduction (はじめに)

1. Introduction (はじめに)

インターネット内の様々な標的を狙った Denial of Service Attacks (サービス妨害攻撃) [1] の再発は, Internet Service Provider (ISP, インターネットサービスプロバイダ) およびネットワークセキュリティコミュニティ内において, この種の攻撃を軽減するための新しく革新的な方法を見つけるという新たな課題を生み出しました。この目標を達成するための困難は数多くあります。これらの攻撃の効果と範囲を制限するための簡単なツールはすでに存在していますが, 広く実装されていません。

この攻撃方法はしばらく前から知られていました。しかし, それに対する防御は継続的な関心事でした。Bill Cheswick は [2] において, 彼の著書「Firewalls and Internet Security (ファイアウォールとインターネットセキュリティ)」[3] から, 土壇場でチャプターを削除したと引用されています。なぜなら, 攻撃を受けているシステムの管理者がシステムを効果的に防御する方法がなかったからです。その方法について言及することで, 彼はその使用を奨励することを懸念していました。

本文書で議論されるフィルタリング方法は, 有効なプレフィックス (IP アドレス) から発信されるフラッディング攻撃を防ぐことに関しては全く何もしませんが, 発信元ネットワーク内の攻撃者が, 入口フィルタリングルールに準拠しない偽造された送信元アドレスを使用してこの種の攻撃を開始することを禁止します。すべてのインターネット接続プロバイダは, 合法的にアナウンスされたプレフィックスの範囲内に存在しない偽造された送信元アドレスを攻撃者が使用することを禁止するために, 本文書で説明されるフィルタリングを実装することが強く推奨されます。言い換えれば, ISP が複数のダウンストリームネットワークのためのルーティングアナウンスメントを集約している場合, これらの集約されたアナウンスメントの外部から発信されたと主張するトラフィックを禁止するために, 厳格なトラフィックフィルタリングを使用すべきです。

このタイプのフィルタリングを実装することの追加の利点は, 攻撃者が有効で合法的に到達可能な送信元アドレスを使用しなければならなくなるため, 発信者をその真の送信元へ容易に追跡できるようになることです。