- ベストアンサー
グローバルIPを不正に利用し、経路広告した場合
グローバルIPを配布されている組織に所属しています。 例えば組織が、割り当てられていないグローバルIPをそのままマシンにつけ、経路広告までをASに行った場合、本来そのグローバルIPが割り当てられるはずの組織へのパケットをハイジャックすることはあり得るのでしょうか? なにか対策が行われているのでしょうか?それはどこででしょうか? もちろん自宅の環境など、NTTなどのプロバイダを経由しないで自分の隣接ASから外に出るケースでの話です。
- swinggirls10
- お礼率33% (1/3)
- ネットワーク
- 回答数2
- ありがとう数2
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
> 一つ疑問なのですが、このような簡単な攻撃方法があるのならばなぜ大企業を相手にたくさんされていないのでしょうか? コスパが悪いからでしょう。 BGP-4プロトコルを使って経路情報を流すには、まずAS番号を取得し、どこかのISPとIXもしくは専用線で接続し、経路情報の交換を行う契約を結び、相互のルータに経路情報の交換を行う相手の情報を登録するという手順を踏まなければいけません。 この手続きの過程で相手の審査もされますから、容易に準備することはできません。 また、BGP-4自体には受け入れた経路情報の正当性を確認する手段は用意されていませんが、ISPのネットワーク運用を行っている部門では経路情報の増減等を監視しているので、不審な変化を見つけたら一時的に経路情報の交換を停止する等の対応を行います。 これは、悪意を持って行われる行為を監視するだけでは無く、設定ミスなどの過失でネットワークに混乱をきたすのを防ぐためのモノです。 なので、現実には費用や手間の問題だったり、ネットワーク監視による不正発覚があるので長期間に渡ってネットワークをジャックする事は困難でしょう。 過去に全く例が無い訳ではなく、数時間インターネットの通信が混乱したケースがありますが、監視によって発見されるため世界中に経路情報が拡散する前にブロックされ、米国内だけとか欧州内だけといった一部地域の混乱で済んでます。
その他の回答 (1)
- t_ohta
- ベストアンサー率38% (5080/13276)
現状では経路情報の正当性を評価する手段が無いので、誤った経路情報を流すと誤った所へパケットが送られる可能性があります。
関連するQ&A
- パケットが流れる実際の経路
北米の東部に住んでおり、日本とインターネットを介して頻繁に連絡を取っていますが、データが一瞬にして届くことには驚かされます。そこで質問なのですが、実際、TCP/IPのパケットはどこを通ってくるのでしょうか。もちろん、いろいろな経路があり得るでしょうが、多くの場合は、どこにあるルータを経由して、また、どんな種類のケーブルを経由して、太平洋を潜るのか、人工衛星に飛ぶのか、海上の船舶間を無線で飛ぶのか、大西洋とユーラシア大陸を経由するのか、あるいは北極海を通ってくるのか... ルータのFQDNなどを知りたいのではなく、実際の地理的な、またケーブルの物理的な、それらを管理している組織に関する話を聞かせていただけると嬉しいです。
- 締切済み
- その他(インターネット接続・通信)
- ルーターのIPアドレスの計算
<ルータのIPアドレスの計算方法> ルータの行先が、192.168.10.250 のパケットが来た時、このパケットは、どの ルータのIPアドレスに転送されますか。 下記のどれが正しいですか。計算方法も含めて教えて下さい。 (経路表) Network ルータ(経由) 192.168.10.0/25 10.0.1.5 192.168.10.128/25 10.0.2.6 192.168.10.64/26 10.0.3.7 192.168.10.128/26 10.0.4.8 宜しくお願い致します。
- ベストアンサー
- ネットワーク
- リクエスト先から自分のPCに応答が帰ってくる経路はどのように決定されるのでしょうか?
おはようございます。ネット初心者です。 インターネット閲覧などの際、こちらからURLを指定することで目的のサイトにパケットが送信されます。 逆にサイトから自分のPCにはどのように経路が決定されてパケットが送られてくるのでしょうか? 私の認識では、送信元IPは途中で経由したサーバーやインテリハブなどのIPアドレスとなってしまっている筈です。 やはりリクエストが通ったルートを逆に帰ってくるのでしょうか? その場合リクエスト元を識別するID等が、送信されるパケットに含まれる・・・ うーん解らない・・ つまり宛て先のIPアドレスは通信過程で変わらないが、送信元IPは経由するサーバー等のものになってしまいますよね? であれば、リクエストを受けたサーバーからリクエスト元である自分のPCに帰ってくる経路はどのように決定されているのか? と言うことです。 お時間ありましたら、是非ご教授ください。
- 締切済み
- その他([技術者向] コンピューター)
- ルーターを経由させる場合とそうでない場合での、セキュリティや動作につい
ルーターを経由させる場合とそうでない場合での、セキュリティや動作について混乱をしています。 過去も含めプロバイダーに3回問い合わせ、毎回回答が違うので混乱してしまいました。 45戸程のマンションでVDSLでつないでいます{So-net光(UCOM)マンションV 100M}。 宅内の配線について、以前プロバイダーに問い合わせた時の指導に従い、 『電話の差込み口>VDSLモデム>PC/固定電話(NTT)』と繋いでいました。 しかし、本来は、 『電話の差込み口>VDSLモデム>【ブロードバンドルーター】>PC/固定電話』が 正しいのではないかと思い、昨日ルーターを咬ませて繋ぎ直しました。 今まで、ルーターを咬ませていなかったのですが、セキュリティやシステム上問題はなかったのでしょうか? (ネットは普通に使えていました。) 私の理解では、ルーターは、 ・2つのLAN間や、LANとWANを接続するための中継装置。 ・パケットのIPアドレスを調べて送信経路を選択。 ・IPアドレスに基づくフィルタリング機能。 ・VDSLモデムとPCを直接接続するとPC上でPPPoEを実行する必要があるが、これは結構重い処理だし実装内容によって性能が変わるが、ルータを通すとPPPoEをルータで実行し、PCではLANパケットの処理だけで済む。 と思っていたので、やはり経由させないといけなかったのではないかと思っているのですが・・・。 プロバイダーに問い合わせた際、ある担当者は 「ルーターは、あなたのIPアドレスを毎回変えて特定できないようにして送信する」とも言っていました。 であればなおさら繋いでいないといけなかったんじゃないか?と思うのですが、ルーターを経由させないことでの不具合や問題点はあるのでしょうか。 よろしくお願いします。
- ベストアンサー
- ルーター・ネットワーク機器
- P2Pでのネットワーク経路について
P2Pの方式で、中央サーバ依存型とバケツリレー式ともに、加入しているプロバイダのサーバがダウンしている場合でもP2P接続には影響はないのでしょうか。 また、今の答えが関係するのですが、P2P各方式のネットワーク経路ですが、データはNTT交換局に入った後、どのような経路で各P2Pユーザへ出て行くのでしょうか。やはり、プロバイダのサーバを一度経由してからになるのでしょうか。
- 締切済み
- その他(インターネット接続・通信)
- 公開IPアドレスの設定について
プロバイダ経由でJPNICから、ドメインを取得しました。 公開IPアドレスの使い方などについて教えて下さい Q1.もらった公開IPアドレスは、ただ自分のサーバに 設定をするだけで使えてしまうのでしょうか? (どこかにまた申請をだしたりしなくて良い?) Q2.もしインターネット上で、私がもらった公開 IPアドレスを偽って使っている人がいたら パケットはどちらに届くかわからなくなって しまうのでしょうか?
- ベストアンサー
- その他(インターネット接続・通信)
- スタティックIPルーティング
質問させて下さい。 現在、NTT α-RXIIにブロードバンドルーターユニットBRUを指している環境です。 現状でそのNTT α-RXIIが168.192.1.1 職場用PC1が192.168.1.3 職場用PC2が192.168.1.4 私用PCが192.168.1.5 となっています。 それで今回、契約プロバイダを1つから2つに増やしたのですが、 職場用の二つのPCは従来のプロバイダで、私用PCだけを新しく加入したプロバイダで、使えるようにしたいのです。 α-RXIIの設定画面を見たところ、どうやらスタティックIPルーティングという設定をいじれば出来そうな感じだったので、色々いじってみたのですが、どうにもうまく出来ません。 設定画面は以下のようになっています。 xで表している所が入力フォームになっています。 ----------- スタティックIPルーティング設定 スタティックIPルーティングの設定を行います。 送信先IPアドレスによるルーティング設定を最大16個まで設定可能です。 IPアドレス xxx.xxx.xxx.xxx サブネットマスク xx bit 経路先 (固定IPアドレス LAN1 WAN1 WAN2 WAN3から一つ選択) 経路先IPアドレス xxx.xxx.xxx.xxx ホップ数 xx(設定範囲:1~16) -------------- 以上です。 一番上のIPアドレスは私用PCの192.168.1.5をいれればいいとして、 二番目のサブネットマスクには何を入れればよいのでしょうか? 同じ画面にある「インタフェースIPルーティング情報」というものには、LAN1→24bit、WAN1(旧来のISP)→32bit、WAN2(新しく入ったISP)→53783bit、となっているのですが…。 分かりにくい質問ですみません。 よろしくお願いします。
- ベストアンサー
- その他(ITシステム運用・管理)
- グローバルIPとプライベートIPについて
ソフトウェア開発技術者の平成20年春の問題をやっていて、腑に落ちないところがあります。 質問は二つです。 外出先のクライアントのPCからルータA(外出先からインターネットへつなぐためのもの)を通じて、インターネット経由で自宅のネットワークのルータBにアクセスをして、そこからアドレス変換をすることによりサーバにアクセス要求パケットを送信するという類のものなのですが…。 アクセス経路で、あるネットワーク内に存在するクライアントPCからそのPCをネットへつなぐためのルータにアクセスする時に送信元IPアドレスが「192.168.1.10」とクライアントPCのプライベートアドレスになっていました。 ところが、ルータAから別のネットワークのルータBにつなぐときは、送信元のIPアドレスが「61.xxx.42.94」とグローバルIPアドレスになっていました。 (1) 送信元IPアドレスのプライベートとグローバルIPアドレスが変わってくるのは何が原因なのでしょうか? 自分なりに考えてみると、別のネットワークにパケットを送るときは一旦プライベートアドレスからグローバルIPアドレスに変換する必要があるため。と解釈したのですが、正しかったでしょうか。 また、ホームネットワークのルータBに来て目的のサーバにパケットを送るときに、そのルータBから「そのネットワーク内の目的のサーバ」への送信元IPアドレスがパケットが送られてきたネットーワークのグローバルIPアドレスである「61.xxx.42.94」となっていました。 (2)しかし、ルータBは別のネットワークの中に属するものでありその送信元アドレスがなぜそう表示されるのかわかりません。 これは、目的のサーバからのパケットの応答がある場合に、ルータAからクライアントPCに帰るときも同様で、ルータBが存在する方のグローバルIPアドレスである「202.yyy.63.242」が使われていました。 以上二つです。二つともIPアドレスに関する質問です。よろしくお願いします。
- ベストアンサー
- ネットワーク
- IPマスカレードがうまくいかない
こんばんは。今実はルーターのIPマスカレードの設定をホームサーバーの為にやっているのですが、どうしてもうまくアドレス変換してくれず、ご質問させていただきました。 まず接続環境ですが、サーバーマシンまでの経路は 回線終端装置→ルーター(NTT WebCasterV100)→ルーター(メルコ社 BroadStationBLR3-TX4)→サーバーマシン となっており、BフレッツのISPはBIGLOBE使いほーだい を利用してます。固定IPはとっておらず、DDNSでのホームサーバーの設置を行おうとしているのですが、IPマスカレードの設定をしてもアクセスがサーバーマシンに流れてくれません。BroadStationルーターとサーバーマシンにはMacアドレスで固定でローカルアドレスを与え、サーバーマシンから外部へのpingOK、サーバーマシンのifconfigでも設定したローカルアドレスになっていることを確認、IPマスカレードの設定でも確かにサーバーマシンへ流れるよう80ポート転送OKとなっている・・はずなのですが何故か外部からアクセスするとサーバーマシンへ流れてくれず、ルーターで止まってしまい、ルーターの設定画面しか表示されず困っております。実験としてルーターを一つにして外からの80ポートへのアクセスをそのまま固定でローカルアドレスをつけたサーバーマシンへ流れるよう設定したのですがやはりだめでした。色々と調べてはみたのですが解決できず、質問させて頂きました。初心者でご迷惑をおかけしますが助言頂けると助かります。よろしくお願いいたします。
- ベストアンサー
- その他(PCパーツ・周辺機器)
- Bフレッツの2セッションに、2つの固定IPを割当てたい
Bフレッツで、1つの固定IP(以下固定IP_A)を使って自宅サーバを公開しています。 ルータ(NEC Aterm WR7600H)のポートマッピング機能で、wwwをサーバマシン(以下マシンA)に設定しています。 Bフレッツは2セッション同時接続できると聞いたので、もう一つ別のプロバイダと契約して、2つ目の固定IP(以下固定IP_B)を取得しました。 ルータの静的ルーティング機能で、マシン毎に接続先のプロバイダを分けるようにはできましたが、外部から固定IP_Bにアクセスしたとき、ルータのポートマッピングで設定した別のサーバマシン(以下マシンB)にアクセスできません。タイムアウトになります。 これまでに、NEC Aterm WR7600H で設定したのは 1.接続先に2つのプロバイダを設定 ただし優先順位は元からのプロバイダ 2.パケットフィルタでwwwを順方向に通過 をそれぞれの接続先で設定 3.ポートマッピングでwwwを2つのマシンに それぞれの接続先で設定 4.静的ルーティングで、送信元がマシンB なら2つ目の接続先へ というふうに設定 です。 静的ルーティングの設定が足りないのでしょうか? それともDNSサーバの設定が何か必要でしょうか? よろしくお願い致します
- 締切済み
- その他(ITシステム運用・管理)
お礼
解答ありがとうございます。一つ疑問なのですが、このような簡単な攻撃方法があるのならばなぜ大企業を相手にたくさんされていないのでしょうか?例えばyoutubeのアドレスを解決して、不法にこれらのグローバルなIPをマシンにつけて経路広告をする詐欺ASが大量に出現しないのは何故なのかが気になります。