Network Working Group P. Ferguson Request for Comments: 2267 Cisco Systems, Inc. Category: Informational D. Senie BlazeNet, Inc. January 1998 Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing ネットワークの進入フィルタリング: IP 始点アドレスを偽装したサービス妨害攻撃を阻止する Status of this Memo このメモの位置付け This memo provides information for the Internet community. It does not specify an Internet standard of any kind. Distribution of this memo is unlimited. このメモは、インターネット共同体への情報提供である。インターネット の標準等を定めようとするものでは無い。このメモの配付は無制限に行っ て良い。 Copyright Notice 著作権表示 Copyright (C) The Internet Society (1998). All Rights Reserved. Abstract 概要 Recent occurrences of various Denial of Service (DoS) attacks which have employed forged source addresses have proven to be a troublesome issue for Internet Service Providers and the Internet community overall. This paper discusses a simple, effective, and straightforward method for using ingress traffic filtering to prohibit DoS attacks which use forged IP addresses to be propagated from 'behind' an Internet Service Provider's (ISP) aggregation point. 始点アドレスの偽装による、最近の様々なサービス妨害攻撃 (Denial of Service (DoS) attacks) は、インターネット・サービス・プロバイダやイ ンターネット社会全体の頭痛の種となっている。この文書では、進入トラ フィックをフィルタリングすることで、 DoS 攻撃を阻止するための、単純・ 効果的かつ直接的な方法を論じる。この DoS 攻撃は、インターネット・サー ビス・プロバイダ (ISP) 接続点の「背後」から IP アドレスを偽装して侵 入してくるものである。 Table of Contents 目次 1. Introduction ............................................ 2 2. Background .............................................. 2 3. Restricting forged traffic .............................. 5 4. Further capabilities for networking equipment ........... 6 5. Liabilities ............................................. 6 6. Summary ................................................. 7 7. Security Considerations ................................. 7 8. Acknowledgments ......................................... 8 9. References .............................................. 8 10. Authors' Addresses ...................................... 9 11. Full Copyright Statement ................................ 10 1. はじめに ................................................ 2 2. 背景 .................................................... 2 3. 偽装トラフィックの制限 .................................. 5 4. ネットワーク装置に関する今後の機能 ...................... 6 5. 責任 .................................................... 6 6. 要約 .................................................... 7 7. 安全性に関する考察 ...................................... 7 8. 謝辞 .................................................... 8 9. 参照文献 ................................................ 8 10. 著者の住所 .............................................. 9 11. 著作権表示全文 .......................................... 10 1. Introduction 1. はじめに A resurgence of Denial of Service Attacks [1] aimed at various targets in the Internet have produced new challenges within the Internet Service Provider (ISP) and network security communities to find new and innovative methods to mitigate these types of attacks. The difficulties in reaching this goal are numerous; some simple tools already exist to limit the effectiveness and scope of these attacks, but they have not been widely implemented. インターネット上の様々な標的に向けられるサービス妨害攻撃の復活 [1] により、インターネット・サービス・プロバイダ (ISP) やネットワークの 安全性を求める共同体内に、この種の攻撃を鎮静するための、新しい革新 的な方法の発見に挑戦する人々が増えている。この目的を達するには多く の困難がある。これらの攻撃の効果や範囲を小さくするツールは、すでに いくつか出ているが、それを実装している機器は少ない。 This method of attack has been known for some time. Defending against it, however, has been an ongoing concern. Bill Cheswick is quoted in [2] as saying that he pulled a chapter from his book, "Firewalls and Internet Security" [3], at the last minute because there was no way for an administrator of the system under attack to effectively defend the system. By mentioning the method, he was concerned about encouraging it's use. 攻撃方法はすでに知られてきている。しかし、防御対策については、まだ 懸念が続いている。[2] で引用されている Bill Cheswick は、彼の著書で ある "Firewalls and Internet Security" [3] のある章を引いて、攻撃に さらされているシステムの管理者が、有効に防御する対策に尽きた時にど うするかを述べている。彼は上記の攻撃方法に言及して、攻撃が実行され ることを懸念している。 While the filtering method discussed in this document does absolutely nothing to protect against flooding attacks which originate from valid prefixes (IP addresses), it will prohibit an attacker within the originating network from launching an attack of this nature using forged source addresses that do not conform to ingress filtering rules. All providers of Internet connectivity are urged to implement filtering described in this document to prohibit attackers from using forged source addresses which do not reside within a range of legitimately advertised prefixes. In other words, if an ISP is aggregating routing announcements for multiple downstream networks, strict traffic filtering should be used to prohibit traffic which claims to have originated from outside of these aggregated announcements. 本文書で議論するフィルタリング方法は、正当なプレフィックス ( IP ア ドレス) から発信される攻撃に対しては何の防御もできない。しかし、偽 装始点アドレスを使うこの種の攻撃を、別の発信源ネットワークにいる攻 撃者が行うことについては、進入フィルタリング・ルールで阻止できるだ ろう。インターネットに接続する全プロバイダが、本文書で説明するフィ ルタリングを実装することを推奨する。これにより、正当なプレフィック スを逸脱した、偽装始点アドレスを使う攻撃者を阻止できる。別な言い方 をすれば、複数の downstream ネットワークからルーティング情報を集め ている ISP の場合は、これらのルーティング情報から逸脱したアドレスか らのトラフィックを禁止するために、厳密なトラフィック・フィルタリン グを用いるべきである。 An additional benefit of implementing this type of filtering is that it enables the originator to be easily traced to it's true source, since the attacker would have to use a valid, and legitimately reachable, source address. この種のフィルタリングを実装するもう一つの利点は、攻撃者は適切な、 合法的に reachable である始点アドレスを使わざるを得ないので、その発 信者の真の発信源を簡単に追跡できることである。 2. Background 2. 背景 A simplified diagram of the TCP SYN flooding problem is depicted below: TCP SYN flooding 問題の簡略化した図を以下にあげる: 9.0.0.0/8 host <----- router <--- Internet <----- router <-- attacker TCP/SYN <--------------------------------------------- Source: 192.168.0.4/32 SYN/ACK no route TCP/SYN <--------------------------------------------- Source: 10.0.0.13/32 SYN/ACK no route TCP/SYN <--------------------------------------------- Source: 172.16.0.2/32 SYN/ACK no route [etc.] Assume: 仮定: o The "host" is the targeted machine. o "host" は標的にされたマシン。 o The attacker resides within the "valid" prefix, 9.0.0.0/8. o 攻撃者は「正当な」プレフィックス 9.0.0.0/8 内にいる。 o The attacker launches the attack using randomly changing source addresses; in this example, the source addresses are depicted as from within [4], which are not generally present in the global Internet routing tables, and therefore, unreachable. However, any unreachable prefix could be used to perpetrate this attack method. o 攻撃者は始点アドレスをランダムに変化させて攻撃する。上の例では、 始点アドレスは [4] の中から抜き出しており、通常のグローバル・イ ンターネット・ルーティング・テーブルには存在しないアドレスなので、 unreachable になる。しかし、この攻撃を実行するためには、どんな unreachable なプレフィックスも使うことができる。 Also worthy of mention is a case wherein the source address is forged to appear to have originated from within another legitimate network which appears in the global routing table(s). For example, an attacker using a valid network address could wreak havoc by making the attack appear to come from an organization which did not, in fact, originate the attack and was completely innocent. In such cases, the administrator of a system under attack may be inclined to filter all traffic coming from the apparent attack source. Adding such a filter would then result in a denial of service to legitimate, non-hostile end-systems. In this case, the administrator of the system under attack unwittingly becomes an accomplice of the attacker. グローバル・ルーティング・テーブルにある別の正当なネットワークから 発信されたように、始点アドレスを偽装した場合も述べておく必要がある だろう。たとえば、攻撃者は、実際には攻撃の発信源ではない無実な組織 から攻撃が発信されたように見せ掛けることで、正当なネットワークアド レスを使って混乱をひき起こすことができるだろう。この場合、攻撃にさ らされているシステムの管理者は、見せかけの攻撃源から来る全てのトラ フィックをフィルタしようとするかも知れない。このフィルタを付け加え ると、正当な、真の敵ではない末端システムが、サービスを拒否されてし まうことになる。つまり、攻撃にさらされているシステムの管理者は、知 らない内に攻撃の共犯者になってしまう。 Further complicating matters, TCP SYN flood attacks will result in SYN-ACK packets being sent to one or many hosts which have no involvement in the attack, but which become secondary victims. This allows the attacker to abuse two or more systems at once. さらに複雑なことに、 TCP SYN flood 攻撃では、この攻撃とは何の関係も ない、一つないしは多くのホストに SYN-ACK パケットが送られることにな る。これらのホストは二次的な被害者である。攻撃者は、2つ以上のシス テムを一度に混乱させたことになる。 Similar attacks have been attempted using UDP and ICMP flooding. The former attack (UDP flooding) uses forged packets to try and connect the chargen UDP service to the echo UDP service at another site. Systems administrators should NEVER allow UDP packets destined for system diagnostic ports from outside of their administrative domain to reach their systems. The latter attack (ICMP flooding), uses an insidious feature in IP subnet broadcast replication mechanics. This attack relies on a router serving a large multi- access broadcast network to frame an IP broadcast address (such as one destined for 10.255.255.255) into a Layer 2 broadcast frame (for ethernet, FF:FF:FF:FF:FF:FF). Ethernet NIC hardware (MAC-layer hardware, specifically) will only listen to a select number of addresses in normal operation. The one MAC address that all devices share in common in normal operation is the media broadcast, or FF:FF:FF:FF:FF:FF. In this case, a device will take the packet and send an interrupt for processing. Thus, a flood of these broadcast frames will consume all available resources on an end-system [9]. It is perhaps prudent that system administrators should consider ensuring that their border routers do not allow directed broadcast packets to be forwarded through their routers as a default. 同様な攻撃は UDP や ICMP flooding を使って試みられている。前者の攻 撃 (UDP flooding) は、 UDP サービスに接続する偽装パケットを使い、別 のサイトに UDP サービスのエコーを投げ付けさせようとするものである。 システム管理者は、管理ドメイン外から、システム診断用のポートに向け た UDP パケットを、*決して*システムに到達させてはならない。後者の 攻撃 (ICMP flooding) は、 IP サブネット・ブロードキャスト複製機能を 巧妙に利用する。この攻撃は、大きなマルチ・アクセス・ブロードキャス ト・ネットワークを受け持っているルータが、 IP ブロードキャスト・ア ドレス ( 10.255.255.255 宛てのような) を第二層のブロードキャスト・ フレーム (イーサネットでは FF:FF:FF:FF:FF:FF ) に組み直す働きを利用 している。イーサネットの NIC ハードウェア (特に MAC 層のハードウェ ア) は、通常の動作では特定の番号のみを聞くようになっている。通常の 動作で、全ての装置が共有する MAC アドレスは、メディア・ブロードキャ スト、つまり FF:FF:FF:FF:FF:FF である。この場合、装置はそのパケット を受け取り、処理プログラムにインタラプト・シグナルを送る。ゆえに、 これらブロードキャスト・フレームの flood は、末端システムの全リソー スを浪費させてしまう [9]。システム管理者は、デフォルトでは境界ルー タは directed ブロードキャストをフォワードしないように設定しておく のが賢明だろう。 When an TCP SYN attack is launched using unreachable source address, the target host attempts to reserve resources waiting for a response. The attacker repeatedly changes the bogus source address on each new packet sent, thus exhausting additional host resources. TCP SYN 攻撃の始点アドレスが unreachable であった場合、標的になった ホストはレスポンスを待つためのシステム・リソースを確保しようとする。 攻撃者は連続してパケットを送る度に始点アドレスを変更し、ホストのリ ソースを食い潰してしまう。 Alternatively, if the attacker uses someone else's valid host address as the source address, the system under attack will send a large number of SYN/ACK packets to what it believes is the originator of the connection establishment sequence. In this fashion, the attacker does damage to two systems: the destination target system, as well as the system which is actually using the spoofed address in the global routing system. また、攻撃者が始点アドレスとして、別の実際にあるホストのものを使う と、攻撃にさらされているシステムは、コネクション確立シーケンスの送 信元だと思い込まされているホストに、大量の SYN/ACK パケットを送ろう とする。このようにして、攻撃者は2つのシステム、すなわち攻撃対象の システムと、グローバル・ルーティング・システムにある偽装アドレスを 実際に使っているシステム、に被害を与える。 The result of both attack methods is extremely degraded performance, or worse, a system crash. 上記の攻撃方法により、システムはパフォーマンスの深刻な低下を招くか、 もしくはクラッシュしてしまう。 In response to this threat, most operating system vendors have modified their software to allow the targeted servers to sustain attacks with very high connection attempt rates. This is a welcome and necessary part of the solution to the problem. Ingress filtering will take time to be implemented pervasively and be fully effective, but the extensions to the operating systems can be implemented quickly. This combination should prove effective against source address spoofing. See [1] for vendor and platform software upgrade information. 攻撃の脅威に対応して、ほとんどのオペレーティング・システム・ベンダ は、高頻度の攻撃ににも持ちこたえることができるようにソフトウェアを 変更している。問題を解決するための一部としては、有効で歓迎すべきこ とである。進入フィルタリングは、実装が普及し、十分な効果を得るため には時間がかかるが、オペレーティング・システムの機能拡張はすぐにで きる。両者の対策をあわせて、始点アドレス偽装攻撃対策として効果があ がるはずである。ベンダとプラットフォーム・ソフトウェアのアップグレー ド情報については [1] を参照されたい。 3. Restricting forged traffic 3. 偽装トラフィックの制限 The problems encountered with this type of attack are numerous, and involve shortcomings in host software implementations, routing methodologies, and the TCP/IP protocols themselves. However, by restricting transit traffic which originates from a downstream network to known, and intentionally advertised, prefix(es), the problem of source address spoofing can be virtually eliminated in this attack scenario. この種の攻撃で浮かび上がる問題は多く、ホスト上のソフトウェアの欠陥 から、ルーティング方法、 TCP/IP プロトコル自体の問題まである。しか し、 downstream ネットワークから、既知のプレフィックスへ送信される 通過トラフィックを制限することにより、攻撃で始点アドレス偽装を使う ことは、実質的に不可能になるだろう。 11.0.0.0/8 / router 1 / / / 9.0.0.0/8 ISP <----- ISP <---- ISP <--- ISP <-- router <-- attacker A B C D 2 / / / router 3 / 12.0.0.0/8 In the example above, the attacker resides within 9.0.0.0/8, which is provided Internet connectivity by ISP D. An input traffic filter on the ingress (input) link of "router 2", which provides connectivity to the attacker's network, restricts traffic to allow only traffic originating from source addresses within the 9.0.0.0/8 prefix, and prohibits an attacker from using "invalid" source addresses which reside outside of this prefix range. 上記の例では、攻撃者は 9.0.0.0/8 にいて、 ISP D を通じてインターネッ トに接続している。攻撃者の属するネットワークからの接続がある「ルー タ 2 」の進入 (入力) リンク上での入力トラフィック・フィルタは、 9.0.0.0/8 の範囲内の始点アドレスをもつトラフィックのみ通過を許し、 攻撃者が、範囲外の始点アドレスを使えないようにする。 In other words, the ingress filter on "router 2" above would check: つまり、上の例の「ルータ 2 」の進入フィルタは以下のチェックを行う: IF packet's source address from within 9.0.0.0/8 THEN forward as appropriate もし　　　パケットの始点アドレスが 9.0.0.0/8 の範囲内 ならば　　適切なパケットとしてフォワードする IF packet's source address is anything else THEN deny packet もし　　　パケットの始点アドレスがそれ以外 ならば　　拒否する Network administrators should log information on packets which are dropped. This then provides a basis for monitoring any suspicious activity. ネットワーク管理者は、拒否したパケットの記録を残しておくべきである。 この記録は、疑わしい活動をモニタする基礎資料となる。 4. Further possible capabilities for networking equipment 4. ネットワーク装置に関する今後の機能 Additional functions should be considered for future platform implementations. The following one is worth noting: 将来の機器実装では、更に以下の機能を考慮すべきである。これは、注目 しておく価値がある。 o Implementation of automatic filtering on remote access servers. In most cases, a user dialing into an access server is an individual user on a single PC. The ONLY valid source IP address for packets originating from that PC is the one assigned by the ISP (whether statically or dynamically assigned). The remote access server could check every packet on ingress to ensure the user is not spoofing the source address on the packets which he is originating. Obviously, provisions also need to be made for cases where the customer legitimately is attaching a net or subnet via a remote router, but this could certainly be implemented as an optional parameter. We have received reports that some vendors and some ISPs are already starting to implement this capability. o リモート・アクセス・サーバ上での自動フィルタリングの実装。アク セス・サーバには、大抵の場合、一台の PC から一人の利用者が電話 接続してくる。当該 PC から出されるパケットの、ただ一つの IP ア ドレスは、 (それが静的でも、動的でも) ISP から割り当てられる ものの一つである。リモート・アクセス・サーバは、全ての進入パケッ トをチェックし、彼が送信するパケットが始点アドレスを偽装してい ないか、確かめることができる。もちろん利用者がリモート・ルータ を使って正式にネット、サブネットとして接続してきた場合の対応も 準備しておくべきだが、これについては、オプションのパラメータと して実装した方が良いだろう。我々は、いくつかのベンダと ISP が、 この機能をすでに実装し始めているとの報告を受けている。 We considered suggesting routers also validate the source IP address of the sender as suggested in [8], but that methodology will not operate well in the real networks out there today. The method suggested is to look up source addresses to see that the return path to that address would flow out the same interface as the packet arrived upon. With the number of asymmetric routes in the Internet, this would clearly be problematic. 我々は、 [8] の提案のように、ルータが送信者の始点 IP アドレスの認証 をするよう提案しようとも考えたが、この方法は、現実のネットワークで はうまく機能しないだろう。その方法とは、始点アドレスを参照して、当 該アドレスの戻り経路が、パケットが届いたのと同じインターフェースを 通ることを確かめる、というものである。しかし、複数の経路が存在する 現在のインターネットにおいては、明らかに問題が多い。 5. Liabilities 5. 責任 Filtering of this nature has the potential to break some types of "special" services. It is in the best interest of the ISP offering these types of special services, however, to consider alternate methods of implementing these services to avoid being affected by ingress traffic filtering. このフィルタリングで、ある種の「特別な」サービスが使えなくなるかも 知れない。 しかし、 ISP がこの特別なサービス機能をを使いたいと思う なら、進入トラフィック・フィルタリングに影響を受けないような、別の 実装を考えた方が良い。 Mobile IP, as defined in [6], is specifically affected by ingress traffic filtering. As specified, traffic to the mobile node is tunneled, but traffic from the mobile node is not tunneled. This results in packets from the mobile node(s) which have source addresses that do not match with the network where the station is attached. The Mobile IP Working Group is addressing this problem by specifying "reverse tunnels" in [7]. This work in progress provides a method for the data transmitted from the mobile node to be tunneled to the home agent before transmission to the Internet. There are additional benefits to the reverse tunneling scheme, including better handling of multicast traffic. Those implementing mobile IP systems are encouraged to implement this method of reverse tunneling. [6] で定義されているモービル IP は、進入トラフィック・フィルタリン グに特に影響を受ける。仕様では、モービル・ノードへのトラフィックは トンネルされるが、モービル・ノードからのトラフィックはトンネルされ ない。その結果、モービル・ノードからのパケットは、基地局に割り当て られているアドレスとは異なった始点アドレスを持つことになる。 Mobile IP Working Group は、この問題の解決策として、 [7] で「逆トンネル ("reverse tunnels") 」を仕様化している。進行中のこの作業は、モービ ル・ノードから送られてくるデータが、インターネットに出る前に home agent へトンネルされる方法を提供する。逆トンネリング法のもう一つの 利点は、マルチキャスト・トラフィックをうまく扱えることである。モー ビル IP システムの実装では、この逆トンネリング方を実装することが推 奨される。 As mentioned previously, while ingress traffic filtering drastically reduces the success of source address spoofing, it does not preclude an attacker using a forged source address of another host within the permitted prefix filter range. It does, however, ensure that when an attack of this nature does indeed occur, a network administrator can be sure that the attack is actually originating from within the known prefixes that are being advertised. This simplifies tracking down the culprit, and at worst, the administrator can block a range of source addresses until the problem is resolved. 先に記したように、進入トラフィック・フィルタリングは、始点アドレス 偽装攻撃をかなり有効に防ぐことができるが、フィルタで許可した範囲内 ではあるが別のホストと同じ始点アドレスを、攻撃者が偽装することにつ いては排除できない。しかし、この種の攻撃があった場合、ネットワーク 管理者は、その攻撃が、実際にそのプレフィックス内から出されたもので あることは確信できる。そして、犯人を追い詰めることができるし、最悪 の場合でも、問題のかたがつくまで始点アドレスのある範囲をブロックす れば良い。 If ingress filtering is used in an environment where DHCP or BOOTP is used, the network administrator would be well advised to ensure that packets with a source address of 0.0.0.0 and a destination of 255.255.255.255 are allowed to reach the relay agent in routers when appropriate. The scope of directed broadcast replication should be controlled, however, and not arbitrarily forwarded. 進入フィルタリングが DHCP ないし BOOTP の環境で使われる場合、必要で あれば、始点アドレスが 0.0.0.0 で、終点アドレスが 255.255.255.255 のパケットがルータの relay agent に届くことを確認することを、ネット ワーク管理者に助言しておく。しかし、 directed ブロードキャスト複製 の範囲は限定し、無闇にフォワードしてはならない。 6. Summary 6. 要約 Ingress traffic filtering at the periphery of Internet connected networks will reduce the effectiveness of source address spoofing denial of service attacks. Network service providers and administrators have already begun implementing this type of filtering on periphery routers, and it is recommended that all service providers do so as soon as possible. In addition to aiding the Internet community as a whole to defeat this attack method, it can also assist service providers in locating the source of the attack if service providers can categorically demonstrate that their network already has ingress filtering in place on customer links. インターネットに接続するネットワークの末端境界 (periphery) で、進入 トラフィック・フィルタリングを行うことにより、始点アドレス偽装を用 いるサービス妨害攻撃を効果的に抑止できる。ネットワーク・サービス・ プロバイダおよび管理者は、境界ルータ上でこの種のフィルタリングを実 装し始めており、全てのサービスプロバイダが、できるだけ早く実装する ことが求められる。この攻撃方法を根絶することで、インターネット共同 体全体の助力になるとともに、利用者からのリンク上ですでに進入フィル タリングをしていることを示すことで、攻撃源を追っている他のサービス・ プロバイダの助けにもなる。 Corporate network administrators should implement filtering to ensure their corporate networks are not the source of such problems. Indeed, filtering could be used within an organization to ensure users do not cause problems by improperly attaching systems to the wrong networks. The filtering could also, in practice, block a disgruntled employee from anonymous attacks. 集合ネットワークの管理者たちは、集合ネットワークがそのような問題の 源にならないようにしておくべきである。フィルタリングは、一つの組織 内でシステムを不適切にネットワーク接続しようとする利用者に、問題を おこさせないために使うものではある。しかし、実際には、不満分子が無 闇に攻撃することを阻止するためにも使えるのである。 It is the responsibility of all network administrators to ensure they do not become the unwitting source of an attack of this nature. 知らない内に、この種の攻撃源にならないようにしておくことは、全ネッ トワーク管理者の責任である。 7. Security Considerations 7. 安全性に関する考察 The primary intent of this document is to inherently increase security practices and awareness for the Internet community as a whole; as more Internet Providers and corporate network administrators implement ingress filtering, the opportunity for an attacker to use forged source addresses as an attack methodology will significantly lessen. Tracking the source of an attack is simplified when the source is more likely to be "valid." By reducing the number and frequency of attacks in the Internet as a whole, there will be more resources for tracking the attacks which ultimately do occur. 本文書の主要な目的は、安全対策能力と、インターネット共同体全体への 配慮を習慣づけることである。より多くのインターネット・プロバイダ、 集合ネットワークの管理者が進入フィルタリングを実装し、攻撃者が始点 アドレスを偽装して攻撃を仕掛ける機会を著しく減少させる。攻撃源がよ り「正当」になるほど、攻撃源を追いかけることが簡単になる。インター ネットで攻撃の数や頻度が全体として減少することで、実際の攻撃源を追 いかけるのに、より多くのリソースが使えることになる。 8. Acknowledgments 8. 謝辞 The North American Network Operators Group (NANOG) [5] group as a whole deserves special credit for openly discussing these issues and actively seeking possible solutions. Also, thanks to Justin Newton [Priori Networks] and Steve Bielagus [OpenROUTE Networks, Inc.] for their comments and contributions. この文書に関連して、広く議論し、可能な解決策を積極的に探してくれた ことにより、 The North American Network Operators Group (NANOG) [5] グループは全員が賞賛を受けるに値するものである。また、 Justin Newton [Priori Networks] と Steve Bielagus [OpenROUTE Networks, Inc.] の助 言と貢献に感謝する。 9. References 9. 参照文献 [1] CERT Advisory CA-96.21; TCP SYN Flooding and IP Spoofing Attacks; September 24, 1996. [2] B. Ziegler, "Hacker Tangles Panix Web Site", Wall Street Journal, 12 September 1996. [3] "Firewalls and Internet Security: Repelling the Wily Hacker"; William R. Cheswick and Steven M. Bellovin, Addison-Wesley Publishing Company, 1994; ISBN 0-201-63357-4. [4] Rekhter, Y., Moskowitz, R., Karrenberg, D., de Groot, G., and E. Lear, "Address Allocation for Private Internets", RFC 1918, February 1996. [5] The North American Network Operators Group; http://www.nanog.org. [6] Perkins, C., "IP Mobility Support", RFC 2002, October 1996. [7] Montenegro, G., "Reverse Tunneling Mobile IP", Work in Progress. [8] Baker, F., "Requirements for IP Version 4 Routers", RFC 1812, June 1995. [9] Thanks to: Craig Huegen; See: http://www.quadrunner.com/~chuegen/smurf.txt. 10. Authors' Addresses 10. 著者の住所 Paul Ferguson cisco Systems, Inc. 400 Herndon Parkway Herndon, VA USA 20170 EMail: ferguson@cisco.com Daniel Senie BlazeNet, Inc. 4 Mechanic Street Natick, MA USA 01760 EMail: dts@senie.com 11. Full Copyright Statement 11. 著作権表示全文 Copyright (C) The Internet Society (1998). All Rights Reserved. This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, provided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself may not be modified in any way, such as by removing the copyright notice or references to the Internet Society or other Internet organizations, except as needed for the purpose of developing Internet standards in which case the procedures for copyrights defined in the Internet Standards process must be followed, or as required to translate it into languages other than English. The limited permissions granted above are perpetual and will not be revoked by the Internet Society or its successors or assigns. This document and the information contained herein is provided on an "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE. (翻訳　篠田伸夫　福島大学)