パケットの身元を検査し偽装をブロック、IIJが「Source Address Validation」導入へ

IIJは3同社が提供するすべての接続サービスで、送信元アドレスをチェックする「Source Address Validation」を採用する。

[ITmedia]

　インターネットイニシアティブ（IIJ）は3月8日、同社が提供するすべての法人／個人向け接続サービスで、送信元アドレスをチェックする「Source Address Validation」を採用することを発表した。

　DDoS攻撃に代表される不正な通信では、送信元IPアドレスが偽装されるケースが多い。Source Address Validationでは、送られてくるパケットの送信元IPアドレスが本当に正しいかどうかをチェックし、偽装されている通信を遮断する。DDoS攻撃などの不正なパケットがバックボーンに流入することを防ぎ、運用の安定性を向上させることが狙いだ。同時に、IIJ網内から外部に向けた不正な通信も防ぐ。

　Source Address Validationには、ルータなどバックボーン側の機器上でACLを適用するパケットフィルタと、uRPF（Unicast Reverse Path Forwardin）機能を活用するものの2種類がある。後者は、ルータのルーティング情報を活用し、そのパケットが本来の経路をたどってきたかどうかを比較、確認する仕組みだ。

　IIJではACLとuRPF、両方の技術を組み合わせてSource Address Validationを実施し、よりセキュアなネットワークを実現していくとしている。