>ということは、Moving FireWall自身に
>偽の設定をバシバシ送りつける DoS アタックが可能だと
>思います。

　多分ウソの情報が流れないようにIPsecなり
なんなりで暗号化と認証がなされるのだと
思いますけど、それはそれで重そうですね。

　Moving Firewallとやらが侵入されて
いいようにウソのFirewall情報を送り
始めるという可能性もありますか．．．

#原理的には楽しそうだが、実際のNWでやるのは勘弁

IPアドレスをスプーフィングするような事があっても、
それがインタフェースレベルでどこから来るかはルータでわかるので、
そのインタフェースに接続しているルータへ移動して、さらにその
下流のルータへと移動することを繰り返していけば最終的には
発信源に近いところにたどり着くのではないかと思うのだが
いかがだろうか？

今までの防御は偽装が簡単なIPアドレス等の論理情報で防ぐしか
なかったが、ルータと協働すれば物理層、データリンク層まで
追跡性を確保することができるんじゃないかな？

この手の技術は今後、VoIPに移行していく時に、ワン切りの異常な
量の発呼を抑制するにも使えるでしょうね。

．．．と思ったけど、偽の設定をバシバシ送りつけてくる
ことをDoSアタックと理解してMoving Firewallがそのホスト
を隔離することで解決？？

#どうやってDoSアタックを理解するかはしらないけど。

NTTは基本的にはユーザが使うネットワーク側からこれらの機器を 直接制御できるようにはしないはず。おそらく制御用のデータの 交換などはユーザ側のネットワークとは独立な管理用ネットワーク で行うのでしょう。

それはそれでスケーラビリティやコストなどの問題がありますが どちらが良いかは適用次第でしょうか。

ソースをあたってないので技術的一般論かつ理想論かもしれませんが、

この技術が基幹ルータ群に適用されているとして、
攻撃元を次々と見つけていくことで少なくとも基幹部内のトラフィックは
正常な状態に保てるのではないかと。
その基幹部が十分に広ければ孤立することもないわけです。

偽の設定情報に関しては、
隣のルータからの情報だけを信用するようにしておけば、
設定情報を無条件に中継しないことで対策できると思います。
基幹外部からは設定情報が来ないことを前提にできるので。
基幹の中の１ルータが攻撃元ならだめだけど、
本当に攻撃行為があるのかを自己分析した上で設定情報を再送出するといいかも。

もっとも肝心なのが実行される防御行動の質でしょうね。
この技術の適用されない攻撃元ルータからのパケットをすべて落とすのか
フィルタリングのようなことをするのかでは大きく違うと思います。
あとは処理速度かな？