メインコンテンツへスキップ
申請ページTOP > JPIRR登録者・利用者向けページ
現在、マイクロソフト セキュリティ情報 MS10-090のパッチを適用したInternet Explorer 8をお使いの方は、 JPNIC Webサイトの内容が印刷できない状態になっています。 印刷をする場合には、 Internet Explorer 8以外のブラウザを利用してください。
この不具合の詳細と、その対処方法については、 マイクロソフトのWebサイトに掲載されている以下の技術情報をご覧いただくか、 マイクロソフトのサポートセンターにお問い合わせください。
 マイクロソフトの技術情報

経路ハイジャックが疑われる状態発生時の対応について

2012年5月28日

はじめに

 このページでは、経路ハイジャック通知実験への参加組織が、 実際に経路ハイジャックが疑われる状態(以下、 疑われる状態)の通知を受けた場合、どのようなケースや行動が存在するかを、 実際の流れにあわせ、検知、情報確認、分析・対処、留意事項、 平時の備えの順に事例を紹介します。

1. 検知 - 疑われる状態の発生 -

 今回の経路ハイジャック通知実験では、 疑われる状態が検知された段階で通知される仕組みであるため、 日常の運用では定期的に通知が発生するわけではありません。 そのため、通知を受けた場合、何をすべきか、 自組織のASがどのような状態になっているか、 通知を受けた時から解析を行うことになります。

 また、疑われる状態の通知を受けた時点でも、 経路ハイジャックが短時間で終了している場合があります。 このようなケースでは、通知を受けた時点で状況調査を開始しても、 調査時には該当経路が確認できない場合があります。 こういった瞬間的な経路ハイジャックの状況分析を行う場合、 後述の経路情報確認サイト等で何が起こっていたかを解析することが可能です。

 現在の連携実験では、 疑われる状態を検知した時点をJPIRRユーザーへ通知しております。 今後は、2009年度中に、 疑われる状態が解消した時点での通知機能を追加する予定です。

2. 情報の確認

 疑われる状態の原因が、自組織の問題であるかどうかを最初に確認します。 疑われる状態とは、 JPIRRへ登録されたRouteオブジェクトと異なるOrigin ASを持つ経路情報を、 経路奉行が検知した状態の事です。 詳しくは以下のWebページをご参照ください。

「Telecom-ISAC Japan経路奉行とJPIRR間の連携実験について
(http:/www.nic.ad.jp/ja/ip/irr/jpirr_exp.html)」

JPIRRと経路奉行の連携

 以下に奉行の誤検知の例を挙げます。

外部の経路情報確認サイトでの情報収集

3. 分析と対処

 疑われる状態の発生要因となったASへコンタクトし、 状況確認を行います。 疑われる状態が発生しても、 故意である場合は少なく、 オペレーション等が要因である場合があります。 相手先へのコンタクトは事実を落ち着いて通知します。 コンタクト先情報を得るためには、IRRやWHOIS、PeeringDBなどが使えます。

PeeringDB
https://www.peeringdb.com/
情報閲覧はゲストアカウントで可能です。 自ASの情報を登録するには、ユーザー登録、 データベース運営者の確認後、 情報登録が可能になります。

 コンタクト先情報を得ることができた場合、 原因ASと原因ASに対し、 AS-PATH順で見たときに、一つ上位のASへコンタクトします。

 また、相手先ASによってはメーリングリストなどを使ってコンタクトする方法もあります。

 具体的には、 各国のNetwork Operators Group(NOG)のような、 技術者のコミュニティへ助けを求めることができます。

 回復に向けた対応として、複数の対応を紹介しましたが、 以下の点にも注意が必要です。

4. 留意事項

疑われる状態の発生時、 X-Keiro: への通知を受信できない場合も存在します。

 X-Keiro:へ登録された電子メールアドレスに対し、 受信するメールサーバが存在する経路情報がへの到達性が失われた場合、 メール受信サーバへの到達性が失われるため、 到達性が回復するまで回復するまでメール通知が遅延する場合があります。

→ 対策として、 受信するメールサーバが異なる複数の電子メールアドレスをX-Keiro: へ登録することにより、この問題の影響を低減することが可能です。

5. 平時の備え

 これまでの対応は、 ハイジャック発生から回復に向けた事例を紹介してきました。 本章では、 平時の備えについて紹介します。

疑われる状態発生時の手順を整理

通知先の調査方法
電子メールアドレス:peering/admin/noc@〜 等一般的な連絡先の調査方法を手順化する。
通知内容
自分の経路である、 というエビデンスとしてIRRの情報等を添付する等を手順化する。
経路情報を細かく広告する手順を作成
  • 通常の集成した経路を、/24単位など、細かく広報する手順を整備する。
  • 自網内で重要なIPアドレスブロックを、集成した経路より細かく流す時の準備として、社内手続きを整備する。
  • 重要なIPアドレスの例
    • DNSキャッシュサーバ
    • DNS権威サーバ
    • 認証サーバ
  • 経路を細かくする場合の注意
    経路を細かく広報する場合は、 広報先がIPアドレスとサブネットマスクを厳密に一致する経路情報だけを受け入れるポリシーである場合を想定し、 広報先とも調整する必要があります。 また、 経路情報を細かくする事は、経路情報の増大の原因の一つとなります。 実施の際には影響を考えてから実施する必要があります。

終わりに

 現在のインターネットレジストリにおいては、 登録された情報に誤りがある場合があります。 また、オペレーション環境においては、 広告した経路情報が正確に他のASへ受け入れられているか、 完全に確認することは難しい状況となっています。

 本内容は、 財団法人日本データ通信協会 Telecom-ISAC推進会議経路情報共有ワーキンググループとJPNICが作成しました。 経路情報共有ワーキンググループの皆様に感謝します。

 今後もインターネットを取り巻く環境などの傾向にあわせ、 定期的に更新する予定です。

以上

このページを評価してください
このWebページは役に立ちましたか?
役に立った。
役に立たなかった。
どちらとも言えない。

ページの改良点等がございましたら自由にご記入ください。
  • このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、 お問い合わせ先 をご利用ください。
  • 文中でのHTMLタグ使用はご遠慮ください。
ページトップへ