DoS攻撃とエニーキャスト
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2020/09/02 23:36 UTC 版)
「エニーキャスト」の記事における「DoS攻撃とエニーキャスト」の解説
エニーキャストはDDoS攻撃の効果を低減させることができる。トラフィックは最も近いノードにルーティングされ、攻撃者はそれを制御できないので、DDoS攻撃のトラフィックは発信地点に最も近いノード群に分散される。このため全ノードが影響されるようにはならない。これを理由としてエニーキャストを採用することもある。 ただし、分散型の攻撃に対するこの技法の効果には疑問もある。何故なら、(保守用の)各ノードのユニキャストアドレスは特にIPv6では容易に取得できるからである。RFC 2373 (オブソリート済み)では「エニーキャストアドレスをIPv6パケットの発信元アドレスに使ってはならない」とある。したがって、エニーキャストアドレスにpingを行うと、最も近いノードのユニキャストアドレスが返ってくる(応答パケットの発信元アドレスとしてエニーキャストアドレスを使えないため)。すると、攻撃者はエニーキャストのアドレッシング機構を迂回して、世界中のどこからでも個別のノードに攻撃をしかけることができる。同じことはIPv4にもほぼ当てはまるが、全く同じではない。 尚、「エニーキャストアドレスをIPv6パケットの発信元アドレスに使ってはならない」との記述は、元々「さらなる経験が蓄積され、ソリューションが考えられるまで」との条件付きで書かれており、後続の RFC 3513 (オブソリート済み)までは存続していたが、その後続の RFC 4291 では記述は削除されている。
※この「DoS攻撃とエニーキャスト」の解説は、「エニーキャスト」の解説の一部です。
「DoS攻撃とエニーキャスト」を含む「エニーキャスト」の記事については、「エニーキャスト」の概要を参照ください。
- DoS攻撃とエニーキャストのページへのリンク
