ルータやファイアウォールにおいて、送信元 IP アドレスが詐称されているパケットをフィルタリングすることが推奨されます。 例えば、本来内部で保持していない IP アドレスを送信元とするパケットが外部に送信される場合、送信元 IP アドレスが詐称されていると判断してフィルタします。 送信元 IP アドレスの詐称は、サービス運用妨害 (DoS) 攻撃など様々な攻撃で使われる基本的な手法のひとつです。自サイトから他のサイトに対する攻撃を防ぐためにも、このようなフィルタリングを設定することを強くお勧めします。なお、設定を一行追加するだけで実現できる装置もありますので、改めてマニュアルなどをご確認ください。
参考文書(日本語)
-
ネットワークのイングレスフィルタリング
発信元 IP アドレスを偽ったサービス妨害攻撃をくじく
http://www.ipa.go.jp/security/rfc/RFC2827JA.html
-
マルチホームされたネットワークのためのイングレスフィルタリング
http://www.ipa.go.jp/security/rfc/RFC3704JA.html
参考文書(英語)
-
Network Ingress Filtering:
Defeating Denial of Service Attacks which employ IP Source Address Spoofing
http://www.ietf.org/rfc/rfc2827.txt
-
Ingress Filtering for Multihomed Networks
http://www.ietf.org/rfc/rfc3704.txt
-
Global Incident Analysis Center - Special Notice -
Egress Filtering v 0.2
http://www.sans.org/y2k/egress.htm
Weekly Report 2005-08-17号 に掲載