RFC 8367 "Wrongful Termination of Internet Protocol (IP) Packets" 日本語訳 「インターネット プロトコル (IP) パケットの間違った終了」 Independent Submission T. Mizrahi Request for Comments: 8367 Marvell Category: Informational J. Yallouz ISSN: 2070-1721 Intel 1 April 2018 Internet Protocol (IP) パケットの間違った終了 概要 ルータとミドルボックスは様々な理由でパケットを終了します。 中にはこれらのパケットは間違った終了をされることがあります。 このメモはInternet Protocol (IP) の間違った終了の最も一般的なシナリオを説明し、それらを緩和するお勧めの方法を紹介します。 このメモの位置付け この文書では、インターネット標準化過程の仕様ではありません、それは情報目的のために公開されています。 これは、他のいかなるRFCストリームに関係なく、RFCシリーズに貢献をしています。 RFC Editor は自らの裁量でこのドキュメントを公開することを選択しました。そして、実装や展開においてのその価値に関して何らかの声明を出すことはありません。 RFC Editorによって公表の承認をされたドキュメントはインターネット標準のいかなるレベルの候補でもありません。RFC7841のセクション2を見てください。 このドキュメントの現在の状況、正誤表、フィードバックの提供の仕方の情報については、https://www.rfc-editor.org/info/rfc7168 で得られるでしょう。 https://www.rfc-editor.org/info/rfc8367. 著作権 Copyright (c) 2018 IETF Trust and the persons identified as the document authors. 無断転載禁ず このドキュメントはBCP78とこのドキュメントの公表日に実施されているIETFドキュメントに関するIETF信託の法律条項 (https://trustee.ietf.org/license-info) の適用を受けます。 それらにこの文章に関する権利と制限が記述されていますので、慎重にこれらの文章を確認してください。 目次 1. はじめに ................................................... 2 2. 略語 .................................................. 2 3. 間違った終了のシナリオ ................................. 3 3.1. 色ベースの終了 ................................... 3 3.2. 年齢ベースの終了 ..................................... 3 3.3. 原点ベースの終了 .................................. 4 3.4. 長さベースの終了 .................................. 4 3.5. IPバージョンベースの終了 .............................. 5 3.6. フラグベースの終了 .................................... 5 4. セキュリティについての考慮事項 ........................................ 5 5. IANAの考慮事項 ............................................ 5 6. 結論 ..................................................... 6 7. 参照 ..................................................... 6 7.1. 参照する参考文献 ...................................... 6 7.2. 有益な参照文献 .................................... 6 著者のアドレス ................................................ 6 1. はじめに IPパケットはしばしばネットワーク装置によって終了されます。 コントロール プレーン パケットがローカル装置によって終了され、処理されることがあります。一方で他の場合にはパケットはパケットのフィルタリングの仕組みで終了(破棄)されます。 パケットフィルタリングは健全性検査、ポリシーの施行、セキュリティのためにネットワーク装置内で広く採用されています。 ファイアウォールのような IP ルータとミドルボックスは事前に定義されたポリシーに従わないパケットをしばしば終了します。 残念なことに、いくつかのフィルタリング ポリシーは false positive あるいは 不必要なパケットの終了を引き起こします。 さらに、これらの間違った終了は時には偏見を持たれ、それらの色、年齢、期限、長さ、あるいはIPバージョンに基づいてパケットを不当に扱われます。 このメモは IP パケットの間違った終了の最も一般的なシナリオの幾つかについて議論し、そのような不当な扱いを避けるためのお勧めの方法を紹介します。 2. 略語 IP インターネット プロトコル TTL 生存期間 OAM 操作、管理および維持 3. 間違った終了のシナリオ 3.1. 色ベースの終了 概要 IPパケットはそれらの色によって終了されます。 説明 ルータはしばしばメタリング機構を採用します [RFC4115]。 これらの仕組みはしばしば色認識モードをサポートします。パケットの色(緑、黄色あるいは赤)がメタリング アルゴリズムの中の基準として使われます。 このモードは赤および黄色のパケットより緑が好まれるとして知られています。 お勧め 異なる色のパケットについて機会を均等にするために、色で差別をしないメタリングの使用がお勧めです。 3.2. 年齢ベースの終了 概要 IPパケットはそれらの生存期間を基にして終了されます。 説明 IPv4の TTLフィールド [RFC791] および IPv6 Hop Limit フィールド [RFC8200] がループを避けるために使われます。 これらのフィールドは本質的にパケットの年齢を表します。 TTL値が 0 あるいは 1 のIPパケットを受け取るルータは通常はそのパケットを終了します。 このドキュメントでは、0または1のTTLあるいはHop Limitのパケットは 'シニア パケット' として参照されます。 お勧め 可能であれば、逆の差別の実践をお勧めします。 特にシニア パケットは Hello [RFC2328] および Traceroute [RFC2151] のようなOAMタスクに非常に効果があると知られています。 従って、シニア パケットは簡単に退去させるべきではありません; 可能な限り、シニア パケットはコントロール-プレーン プロトコルで使われるべきです。 3.3. 原点ベースの終了 概要 IP パケットはそれらの原点(ソースIPアドレスのプリフィックス)に基づいて終了されます。 説明 ルータとミドルボックスはしばしばIPアドレスのフィルタリングを行います。 パケットはしばしばそれらのソースIPアドレスのプリフィックスに基づいて破棄されます。 このメモでは、プリフィックスに基づいたソースアドレスのフィルタリングは原点ベースフィルタリングとして参照されます。 ソースIPアドレス フィルタリングは良く知られたアタッカーによって行われるセキュリティ攻撃を避けるために無難な技術ですが、プリフィックス全体をフィルタリングすることは正当なトラフィックを不必要に終了することに繋がるかもしれません。 お勧め 1つのホストの犯罪のために自治権のあるシステム全体を罰しないように、原点ベースのフィルタリングは可能な限り制限されるべきです。 潜在的な脅威のアドレスがよく知られている場合は、個々のアドレスベースのフィルタリングが選ばれるべきです。 3.4. 長さベースの終了 概要 短いIPパケットはそれらの長さのせいで間違って終了されます。 説明 IPv4 [RFC791] パケットの最小の許容サイズは20オクテットで、IPv6 [RFC8200] パケットの最小許容サイズは40オクテットです。 しかし、イーサーネットのサイズ制限により、46オクテットより短いIPパケットは破棄されることがしばしばあります。 イーサーネット フレームサイズの最小が64オクテットで、イーサーネットの最小ヘッダサイズが14オクテットであり、イーサーネットのフレームチェック シーケンスが4オクテット (つまり 64 - 14 - 4 = 46) だからです。 このメモの文脈では、46オクテットより小さい正当なIPパケットは '短い IP パケット' と参照されます。 お勧め 短いIPパケットは破棄されるべきではありません。 イーサーネット フレームの長さはイーサーネット層で強制されるべきで、一方でIP層は短いIPパケットの差別を避けるべきです。 3.5. IPバージョンベースの終了 概要 IPv6 パケットはそれらのバージョンにより終了されます。 説明 多くのルータとミドルボックスは IPv4 [RFC791] パケットのみを処理し、IPv6 [RFC8200] パケットを拒否するように構成されています。 お勧め 2010年代にIPv6パケットが不要と見なされるネットワークがまだあるということはかなり不安です。 実際、IPv6パケットのペイロードはIPv4パケットよりわずかに短いです。 しかし、それらはインターネットの将来の成長のために必要です。 オペレータがついにIPv6に受けるに値する機会を与える時です。 3.6. フラグベースの終了 概要 IPv4 パケットはそれらのもっと多くのフラグメント(MF)フラグが設定されることで終了されます。 説明 多くのルータとミドルボックスはフラグメント化されたパケットを破棄するように設定されます。 お勧め パケットはサポートするフラグの理由によって破棄されるべきではありません。 全てのフラグはそれらが表す特徴とともに尊重されるべきです。 4. セキュリティ問題 このメモはルータとミドルボックスでのIPパケットのフィルタリングに関して贈り物をする提案です。 おそらくそのような寛大なやり方はある場合においてセキュリティを損なうかもしれません。 セキュリティはなされる必要があるだけでなく; なされたようにも見える必要があります。 5. IANA問題 このドキュメントはIANAのアクションを要求しません。 6. 結論 This memo recommends that every router and middlebox be an Equal Opportunity Device, which does not discriminate on the basis of actual or perceived rate, color, age, origin, length, IP version, fragmentation characteristics, higher-layer protocols, or any other IP characteristic. 7. 参照 7.1. 参照する参考文献 [RFC791] Postel, J., "Internet Protocol", STD 5, RFC 791, DOI 10.17487/RFC0791, September 1981, . [RFC8200] Deering, S. and R. Hinden, "Internet Protocol, Version 6 (IPv6) Specification", STD 86, RFC 8200, DOI 10.17487/RFC8200, July 2017, . 7.2. 有益な参考文献 [RFC2151] Kessler, G. and S. Shepard, "A Primer On Internet and TCP/IP Tools and Utilities", FYI 30, RFC 2151, DOI 10.17487/RFC2151, June 1997, . [RFC2328] Moy, J., "OSPF Version 2", STD 54, RFC 2328, DOI 10.17487/RFC2328, April 1998, . [RFC4115] Aboul-Magd, O. and S. Rabie, "A Differentiated Service Two-Rate, Three-Color Marker with Efficient Handling of in-Profile Traffic", RFC 4115, DOI 10.17487/RFC4115, July 2005, . 著者のアドレス Tal Mizrahi Marvell Email: talmi@marvell.com Jose Yallouz Intel Email: jose@alumni.technion.ac.il