uRPFによるフィルタリングに関して、過去問(R1NW午後2問2)を見てみよう。
---------
我が社が利用しているISPでは,〕用者のネットワークとの接続ルータで,uRPF(Unicast Reverse Path Forwarding)と呼ばれるフィルタリングを行っているので,偽装されたパケットが当社に到達することは少なくなっていると考えられる。

設問3(1) 下線,離侫ルタリングの内容を答えよ。
---------

uRPFは、過去問にも出たことがないキーワードで、採点講評にも、「設問3(1)は正答率が低かった。uRPF(Unicast Reverse Path Forwarding)は、なじみの薄い技術だったようであるが、送信元を偽装した通信の防御方法の一つであり、是非、知ってほしい」とある。

解答例:ルータが受信したパケットの送信元IPアドレスが,ルーティングテーブルに存在しない場合,受信したパケットを破棄する。

ルータは通常、宛先IPアドレスしか見ませんが、uRPFでは送信元IPアドレスも見る。そして、送信元IPアドレスが偽装されていないかを判断する。
以下の図で解説します。右側にあるW社は、プロバイダPを経由してインターネットに接続しています(図 法左側の顧客Aも同様で、プロバイダPに接続しています(図◆法プロバイダPのルータR1のルーティングテーブルをみてみましょう。顧客A宛て(1.1.a.0/24)のパケットは、ポートP1から出力します(下図)。
ここで,顧客Aのネットワークから、送信元IPアドレスが3.3.b.xに偽装されたパケットがISPに届いたとします(下図ぁ法
urpf
ISPのルータR1は、受信したパケットの送信元IPアドレスが,ルーティングテーブルに存在するかを確認します。今回は、3.3.b.xのIPアドレスがR1のルーティングテーブルに存在しないので、不正なパケットとして破棄されます。
ネットワークスペシャリストを目指す女性SEあれ? 
でも、プロバイダはインターネットという世界中のネットワークにつながっています。デフォルトゲートウェイを含めて、どこかに経路情報が記載されているはずです。

なるほど、3.3.b.xのIPアドレスは、インターネットのどこかに存在するから、R1のルーティングテーブルにあるということですね。しかし、その場合、3.3.b.xの出力インターフェースはP1ではなくP2になるはずです。P1から届くということは、不正なパケットです。このように、uRPFでは、経路情報と出力インターフェースが一致しない場合にも、不正なパケットと判断して破棄します。

スポンサードリンク