「使えない」IPv4アドレス、あるいはIPv4アドレスの格付け ― 2008年01月24日
今日はJANOG21の初日。その中で興味深かったのは、 IPv4 の bogon 解消問題。
bogon というのは、IANAおよびその下流にあるRIR/LIRに より正式に割り当てられてないにもかかわらず、勝手に 使われ、「広報」されてしまうIPアドレス・経路のこと。
誰にもまだ使われていないはずのアドレスなので、そのような アドレスからのパケットがやってきたら、それは危ないものかも しれない。
そこで、それらをフィルタするbogon filterというのがルータ等で フィルタされることがままあり、たとえば、 Team Cymru Bogonルートサーバプロジェクト等で 情報提供されている。
ただ、フィルタの設定が 最新のアドレス割り当て情報に追従しておらず、 正式に使えるにも関わらず、そのアドレスからのパケットが 到達しない場所というのがあるらしい。相手側でフィルタされ てるので、どうにも手が出せない。
IPv4アドレスの消費が進むにつれ、アドレスが足りなくなる という問題だけでなく、これらの「新規アドレス」が フィルタに乗ってしまったままになっているという問題が 発生し始めた。つまり、アドレスをもらったのに、そこから 通信できない相手先というのが増えてきてるのだ。 逆にいえば、「到達先が限られてしまうかもしれないIPv4アドレス」といったものが出現し、昔から使われているアドレスに くらべて格が落ちてしまうような状況になる。
これまではAPNICによるbogon解消プロジェクト などによって、ルーティング系の問題追跡などが行われ てきたけど、今回のJANOG21では、 既存のネットワークに流れている 各種アプリケーション等によるトラヒックを観測し、 それによって「よく使われる到達先とポート番号」などの ランキングを算出し、それらを個別に新しいアドレス ブロックから実際に叩いてみて到達性があるかをチェックする、というものが発表された。
それによればルーティングの問題だけでなく、ファイアーウォールや、アプリケーションレベルでのフィルタも相当のものが 存在しているらしい。 個別に連絡取ってみても相手先が問題を理解できずに、 そのようなフィルタが自分側に設定されていない場合も それなりに見られるらしい。
何か「サーバをセキュアにする方法」などの記事や ソフトなどをそのまま使ってしまい、フィルタを更新すること なく多くの接続を落としているサーバやネットワークも 多いのだろう。
これからIPv4アドレスが消費されていくにつれ、 インターネットにつないでも自分のところからは「見えない」 サービスに遭遇する人が増えるのかな。
最近のコメント