|
DTIでは、急増している迷惑メール、DDoS攻撃などへの対策として、2007年8月28日より順次、送信元IPアドレスの検証(Source Address Validation)を実施し、不正な送信元IPアドレスによる通信を遮断することといたします。これを行うことにより、不正な通信を未然に防ぐことができ、お客様へより安定したインターネットサービスをご提供することが可能となります。
|
| |
 |
通常、お客様がインターネット接続を利用しホームページをご覧になったり、メールの送信を行ったりする際、DTIが割り当てるIPアドレスが利用されますが、お客様のパソコンがウイルスに感染することにより、DTIが割り当てるIPアドレスではなく、偽装されたIPアドレスが利用されることがあります。
これら不正なIPアドレスによる通信を利用し、お客様の知らぬ間に悪意を持った第三者がお客様のパソコンを踏み台(乗っ取り)とし、迷惑メールの送信や、DDoS攻撃を行うために利用される可能性があります。
このような不正な通信が発生し、DTIのネットワークへ負荷がかかる原因となっていました。
|
| ・DTIのネットワークへ負荷がかかる原因 |
※ ボットとは … ウイルス感染によりネットワークを通じて外部から操作できるプログラムのこと。
|
|
| ▲ このページのトップへ戻る |
 |
DTIが実施する送信元IPアドレスの検証(Source Address Validation)方法は、uRPF(unicast Reverse Path Forwarding)と ACL(Access Control List) によるパケットフィルタのしくみを利用します。
DTIの設備にてお客様から送信される通信の送信元IPアドレスの検証を行い、DTIが割り当てるIPアドレスだと判断された場合は、送信先への送信を許可し、DTIがお客様のインターネット接続に割り当てていない偽装されたIPアドレスと判断された場合は、送信先への送信を許可せず、その通信を破棄します。
|
| ・送信元IPアドレスが偽装されていないと判断した場合は、通信を《 許可 》します |
|
|
| ・送信元IPアドレスが偽装されていると判断した場合は、通信を《 遮断 》します |
|
|
【参考】 uRPF(unicast Reverse Path Forwarding)とは
※ ACL(Access Control List)とは … 静的にパケットフィルタの定義をするアクセス制限リストのこと。
|
| ▲ このページのトップへ戻る |
 |
| FTTHプラン |
Magic FTTH各プラン |
フレッツ光各プラン |
| FTTH Extra各プラン |
FTTH Premium各プラン |
| ECO-CONNECT Bフレッツ各プラン |
|
| ADSLプラン |
Magic ADSL-F |
フレッツADSLプラン |
| ADSL-F Extra |
イー・アクセスADSL各プラン |
| ADSL-F Premium各プラン |
アッカADSL各プラン |
ECO-CONNECT
フレッツADSL |
|
| ダイヤルアッププラン |
Magic IP網 |
フレッツISDNプラン |
| IP網 Extra |
AIR-EDGEプラン |
ECO-CONNECT
フレッツISDN |
|
| モバイル(オプション) |
AIR-EDGE |
フレッツ・スポット |
| Mフレッツ |
@FreeD |
| PacketWIN |
PacketOne |
|
| ▲ このページのトップへ戻る |
 |
送信元IPアドレス検証を実施した場合でも、DTIが割り当てるIPアドレスを送信元にした通信は正常な通信とみなし影響はありません。
しかしながら、ウイルスに感染していない場合でも、お客様の環境が以下に該当される場合、送信元IPアドレスが偽装されたと判断され、ホームページの閲覧や、メールの送信ができなくなる場合があります。
【1】冗長化のために、DTIと他社ISPの接続サービスを同時に利用されている場合
【2】冗長化のために、DTIの接続プランを複数同時に利用されている場合
【3】IPsecなどによるVPNを利用し、異なる拠点間を結んでおり、誤った設定がされている場合
詳細につきましては以下をご確認ください。
|
| ▲ このページのトップへ戻る |
 |
| 【1】 冗長化のために、DTIと他社ISPの接続サービスを同時に利用されている場合 |
冗長化のために、DTIと他社ISPの接続サービスを同時に利用されている場合、通信に影響が出る場合があります。
以下の例では、他社ISPの接続サービスとDTIの接続サービスをご利用されている場合で、それぞれ割り当てたIPアドレスは以下の通りとします。
この場合、他社ISPで割り当てられたIPアドレス172.16.0.2を送信元として、DTIを経由した場合、DTIのルーティングテーブルには172.16.0.2というIPアドレスの経路は無いために、この通信は破棄されます。
上記に該当すると考えられる場合、ネットワーク構成を見直していただく必要がございますので、お客様の情報ご担当者様へのご確認をお願いいたします。
|
| 【2】 冗長化のために、DTIの接続プランを複数同時に利用されている場合 |
冗長化のために、DTIの接続プランを複数同時に利用されている場合、通信に影響が出る場合があります。
以下の例ではDTI接続プランAとDTI接続プランBをご利用されている場合で、それぞれ割り当てたIPアドレスは以下の通りとします。
この場合、DTI接続プランAで割り当てられたIPアドレス10.10.10.2を送信元として、DTI接続プランBを経由した場合、またその逆で、DTI接続プランBで割り当てられたIPアドレス10.10.10.10を送信元として、DTI接続プランAを経由した場合、それぞれの通信が通過をしようとするルーターのルーティングテーブルには送信元のIPアドレスの経路が無いために、この通信は破棄されます。
上記に該当すると考えられる場合、ネットワーク構成を見直していただく必要がございますので、お客様の情報ご担当者様へのご確認をお願いいたします。
|
| 【3】IPsecなどによるVPNを利用し、異なる拠点間を結んでおり、誤った設定がされている場合 |
IPsecなどによるVPNを利用し、異なる拠点間を結んでおり、誤った設定がされている場合、通信に影響が出る場合があります。
以下の例では東京本社と大阪支店をVPNで結んでいる場合で、それぞれ割り当てたIPアドレスは以下の通りとします。
この場合、東京本社で割り当てられたIPアドレス10.10.0.2を送信元として大阪本社経由した場合、またその逆で、大阪支店で割り当てられたIPアドレス10.10.10.10を送信元として東京本社を経由した場合、それぞれの通信が通過をしようとするルーターのルーティングテーブルには送信元のIPアドレスの経路が無いために、この通信は破棄されます。
上記に該当すると考えられる場合、ネットワーク構成を見直していただく必要がございますので、お客様の情報ご担当者様へのご確認をお願いいたします。
|
|
| ▲ このページのトップへ戻る |
 |
uRPF(unicast Reverse Path Forwarding)とは、ルーターのルーティングのしくみを使ったパケットフィルタの技術です。
ルーターは、通信が入ってくると、宛先のIPアドレスを割り出し、そのIPアドレスをルーティングテーブルに照らし合わせて通信の送り先を決めます。この動作を応用し、宛先IPアドレスではなく、送信元IPアドレスをルーティングテーブルに照らし合わせ、一致する場合は、正当な通信と見なし、宛先へ届けます。
しかし、送信元IPアドレスがルーティングテーブルに照らし合わせて、一致しない場合は、不正な通信と見なし、破棄されます
これにより、ウイルスに感染したパソコンが出す不正通信をこのuRPFを利用しインターネット上で遮断することが可能となります。
|
