uRPFによるフィルタリング : ネットワークスペシャリスト

ネットワークスペシャリスト - SE娘の剣 -

ネットワークスペシャリストの試験対策サイト（by 左門至峰の株式会社エスエスコンサルティング）です。ネットワークスペシャリスト試験の
勉強方法、合格体験談、合格のコツ、過去問解説、基礎知識などの情報を掲載します。試験対策セミナー・研修も行っております。
ネットワークスペシャリスト試験対策・勉強なら左門至峰の最も詳しい過去問解説「ネスペ」シリーズ（技術評論社）で！！

uRPFによるフィルタリングに関して、過去問（R1NW午後2問2)を見てみよう。

---------

我が社が利用しているISPでは，①利用者のネットワークとの接続ルータで，uRPF（Unicast Reverse Path Forwarding）と呼ばれるフィルタリングを行っているので，偽装されたパケットが当社に到達することは少なくなっていると考えられる。

設問3(1)　下線①のフィルタリングの内容を答えよ。

---------

uRPFは、過去問にも出たことがないキーワードで、採点講評にも、「設問3（1）は正答率が低かった。uRPF（Unicast Reverse Path Forwarding）は、なじみの薄い技術だったようであるが、送信元を偽装した通信の防御方法の一つであり、是非、知ってほしい」とある。

解答例：ルータが受信したパケットの送信元IPアドレスが，ルーティングテーブルに存在しない場合，受信したパケットを破棄する。

ルータは通常、宛先IPアドレスしか見ませんが、uRPFでは送信元IPアドレスも見る。そして、送信元IPアドレスが偽装されていないかを判断する。

以下の図で解説します。右側にあるW社は、プロバイダPを経由してインターネットに接続しています（図①）。左側の顧客Aも同様で、プロバイダPに接続しています（図②）。プロバイダPのルータR1のルーティングテーブルをみてみましょう。顧客A宛て（1.1.a.0/24）のパケットは、ポートP1から出力します（下図③）。

ここで，顧客Aのネットワークから、送信元IPアドレスが3.3.b.xに偽装されたパケットがISPに届いたとします（下図④）。

ISPのルータR1は、受信したパケットの送信元IPアドレスが，ルーティングテーブルに存在するかを確認します。今回は、3.3.b.xのIPアドレスがR1のルーティングテーブルに存在しないので、不正なパケットとして破棄されます。

でも、プロバイダはインターネットという世界中のネットワークにつながっています。デフォルトゲートウェイを含めて、どこかに経路情報が記載されているはずです。

なるほど、3.3.b.xのIPアドレスは、インターネットのどこかに存在するから、R1のルーティングテーブルにあるということですね。しかし、その場合、3.3.b.xの出力インターフェースはP1ではなくP2になるはずです。P1から届くということは、不正なパケットです。このように、uRPFでは、経路情報と出力インターフェースが一致しない場合にも、不正なパケットと判断して破棄します。

スポンサードリンク