by
Anonymous Coward
on 2007年02月24日 0時34分
(#1115932)
> #というか、ちゃんと対策してますよね?ね?お願いしますよ?
国内の某有名ISPで複数IPアドレス契約の下とか、某ISPのPPPoE直接接続の環境にある端末などからSource IP Address(192.168.1.1とかでも…)を偽装したパケットが普通に相手の端末に届いてましたよ…。
殆どのISPは対策とっていなさそうだとそのとき思ったんですが、遊ぶにはいいので報告せずですが、こういうことがあると報告すべきかと思いますね(苦笑
SYN floodって台数わかるの? (スコア:0)
詳しい人解説希望。
Re:SYN floodって台数わかるの? (スコア:2, すばらしい洞察)
まともなISPや組織であれば、自らのネットワークから容易にIP spoofing(送信元IPアドレス詐称)を行えないよう対策を取っている筈です。そういったネットワークの中に攻撃者が居る限りにおいては、IPアドレスの数をカウントする事は有効でしょう。
#というか、ちゃんと対策してますよね?ね?お願いしますよ?
Re:SYN floodって台数わかるの? (スコア:4, 参考になる)
ADSLとBフレッツのマルチホームな環境で、OCN ADSLアクセスの回線には、Bフレッツに接続してる別のプロバイダ側から割り当てられたIPアドレスのパケットは通りませんでした。
#外から接続してきた通信の帰り道がデフォルトルートのに流れて、ぜんぜん通信できなかったという…
#原因に気付くのに手間取りました。
一方、プロバイダがOCN同士の場合は、別回線に割り当てられたアドレスでも問題なく通りました。
接続単位で見るのではなく、全体の出入り口でOCNのアドレスブロックに無いパケットははじく感じ?
だから、OCNの場合対策はしてますが、同じプロバイダ内の他のIPアドレスを詐称しての通信は可能だと思います。
Re:SYN floodって台数わかるの? (スコア:1, 興味深い)
国内の某有名ISPで複数IPアドレス契約の下とか、某ISPのPPPoE直接接続の環境にある端末などからSource IP Address(192.168.1.1とかでも…)を偽装したパケットが普通に相手の端末に届いてましたよ…。
殆どのISPは対策とっていなさそうだとそのとき思ったんですが、遊ぶにはいいので報告せずですが、こういうことがあると報告すべきかと思いますね(苦笑
# 下手なブロードバンドルータの下でNAT環境とかに有るほうがSourceIPAddress偽装を防いでくれていいかんじなのかも。
Re:SYN floodって台数わかるの? (スコア:1)
ある意味マナーでしょうが、義務ではないというか
どうせ簡単には気づかれないしいいや、みたいなところもありそうな気がします。
あるいは非対称ルーティングしていてどうしても無理とか。
Re:SYN floodって台数わかるの? (スコア:1)
ISPが1ユーザ毎に送信元の偽装を防ぐ対策を取れない場合があると譲ったとしても、例えばAS(自律システム)レベルで、自己の組織に割り当てられていないはずのIPアドレスを送信元として騙るパケットを内部から他のASに対して駄々漏れに流しているようであれば、ASの信頼問題に関わりそうですがどうなんでしょう?
そのようなザル状態のASが仮にトランジットASであれば、そこから来るパケットがそのAS内部から送信元を騙って出てきたものなのか、他のASから中継されてきたものなのか、送信元アドレスを見ただけでは判断が難しくなるでしょう。そうでなくとも、自分の所で起きた醜態をむざむざ他の組織に晒すことになるわけで。
#同様の事は他のネットワーク単位や事象についても言えるでしょうが。
Re:SYN floodって台数わかるの? (スコア:0)
そのトンネルを抜けたパケットをさらにルーティングする場合はどうしましょうか。
ISPは全ての暗号を解析して、このパケットは、あの暗号トンネルを抜けてきたもので、
正統なトランジットだから通してもOK、このパケットはどこから来たか分からず送信元は、
他ISPのアドレスで、なんとなく偽装っぽいからNG、とすべきでしょうか。
結論から言うと、
>自己の組織に割り当てられていないはずのIPアドレスを送信元として騙るパケットを内部から他のASに対して駄々漏れに流している
のを防ぐのは、少なくともユーザーノード間で張られた暗号トンネルをリアルタイムで解析できない限り技術的に不可能です。
できたとして、約款にもよりますが、法律論争に発展する可能性は高いです。
Re:SYN floodって台数わかるの? (スコア:1)
これはIPsecのトンネルモード通信での話でしょうか?
IPsecで暗号化された部分の内容は、IPsecゲートウェイ自身、もしくはその内容がルーティングされる先の網で責任を負う話ではあるでしょう。しかしゲートウェイとゲートウェイの間の網にとって責任を負うべきはそのパケットのESP(暗号化された部分)の前についてるIPヘッダ(これは暗号化されていません。トンネルモードのIPsecの通信であれば送信元・宛先のIPアドレスはそれぞれのゲートウェイのIPアドレスになります。)が改竄されてない事を確認する事であって、所詮はIPパケットのセグメント・データであるESPは今回関係ない話ですね。
Re:SYN floodって台数わかるの? (スコア:0)
チェックしなくていいものまでチェックしたい理由がわかりません。
#トンネリングを抜けたあと、さらにその先へ通信したければ
#トンネリング先のアドレスでなけりゃ当然ダメです