Download presentation
Presentation is loading. Please wait.
1
THE ARPA NETWORK DEC 1969 4 NODES
940 # 2 SRI # 4 UTAH # 3 UCSB PDP 10 360 # 1 UCLA Sigma 7 図 1.1 ARPAネットの構成図(1969)
2
THE ARPA NETWORK SEPT 1969 1 NODE # 1 IMP UCLA # 1 HOST Sigma 7 図 1.2 ARPAネットの最初の構成
3
図 1.3 インターネットに接続されているホストの数
印刷時の注意)下のグラフは内挿値を使って書いているため、毎月のデータがあるように見えますが、実際は右の表にあるように、飛び飛びの数値しかありません。このグラフで言いたいことは、1983年頃からインターネットに接続するホストの数が増えだした、ということです。 参考) グラフの元になっているデータ Date Hosts 08/ 05/ 08/ 10/1984 1,024 10/1985 1,961 02/1986 2,308 11/1986 5,089 図 1.3 インターネットに接続されているホストの数
4
図 1.4 米国の研究ネットワークの変遷 1995年に政府が手を引き、民間に委ねる。 1996年に政府の関与が再開する。 APRAnet
1972 学界で知られるようになる TCP/IPに切り替え ドメイン名の導入 NSFnet 1995 NSFnet運用停止 1990 ARPAnet運用停止 vBNS スパコンセンター (5拠点) 100 Internet2 1995年に政府が手を引き、民間に委ねる。 1996年に政府の関与が再開する。
5
受話器 送話器 送話器 受話器 図 2.1 双方向の通信には4線が必要
注)送話器と受話器は適宜のイラストで描いていただくのでも良いと思います。 ここでは電話技術の従来の本にあるような記号を使いました。 次の図2.2の書き方と記号を合わせておく必要があります。 受話器 送話器 送話器 受話器 図 2.1 双方向の通信には4線が必要
6
図 2.2 2線で済ませる工夫 注)トランスの巻線の部分が手書きとなっております 受話器 電話回線の 電話機の内部 インピーダンス
の平衡回路 送話器 図 2.2 2線で済ませる工夫
7
加入者A 加入者E 加入者B 加入者C 加入者D 図 2.3 5人の加入者間の通信
8
A B C D E 図 2.4 クロスバ交換機 A B C D E
9
1 1 1 2 2 3 3 2 4 4 3 5 5 1 2 3 図 2.5 説明図の書き方
10
図 2.6 小さなクロスバを組み合わせる
11
図 2.7 JUNETの面影を伝える復元写真
12
固定電話 IP電話 図 2.8 電話番号とENUM 注) この図は細部まで書き込みがある。 適宜省略して処理の概要が分かれば十分。(要相談)
注) この図は細部まで書き込みがある。 適宜省略して処理の概要が分かれば十分。(要相談) 固定電話 IP電話 参考: 総務省「IPネットワーク技術に関する研究会 報告書」2002年2月 図5-4 図 2.8 電話番号とENUM
13
ftp://ftp. is. co. za/rfc/rfc1808. txt gopher://spinaltap. micro. umn
ftp://ftp.is.co.za/rfc/rfc1808.txt gopher://spinaltap.micro.umn.edu/00/Weather/California/Los%20Angeles news:comp.infosystems. telnet://melvyl.ucop.edu/ 注) %20はスペース(空白)を意味する 図 2.9 URIの例 注記) 出典 RFC2396
14
図 2.10 次世代ネットワーク(NGN)
15
図 3.1 2つのイーサネットのフォーマットの形式
注)できるだけ「データ」の部分を長く書きたい 6 6 2 46~1500(可変長) 2 宛先のMACアドレス 送信元のMACアドレス タイプ データ FCS 宛先のMACアドレス 送信元のMACアドレス フレームの長さ LLC SNAP データ FCS 6 6 2 3 5 38~1492(可変長) 2 用語: FCS Frame Check Sequence LLC Logical Link Control SNAP Sub-Network Access Protocol 図 3.1 2つのイーサネットのフォーマットの形式
16
(Best Current Practice)
その他 IETF 参考(1): 下の本の図1-3 笠野英松監修・マルチメディア通信研究会編 「インターネットRFC事典」アスキー出版局、1998 参考(2): 下の本の図3-5 江崎浩監修・MCR編 「インターネット用語事典」I&E神蔵研究所、2000 さらに田代秀一氏の講演による 別組織で作られた規格 Internet-Draft (標準の提案) Experimental RFC (研究開発段階の記述) IESGによる承認 Proposed Standard (提案) Draft Standard (標準の候補) Informational RFC (情報提供を主目的 としたRFC) BCP(運用方法 に関するRFC) (Best Current Practice) Internet Standard (インターネットの標準) Historic RFC (古くなったRFC) Standard track (標準化の流れ) FYI番号 For Your Information BCP番号 STD番号 図3.2 IETFにおける標準化の進行
17
第7層 アプリケーション層 第6層 プレゼンテーション層 第5層 セッション層 第4層 トランスポート層 第3層 ネットワーク層
第7層 アプリケーション層 第6層 プレゼンテーション層 第5層 セッション層 第4層 トランスポート層 第3層 ネットワーク層 第2層 データリンク層 第1層 物理層 図 3.3 OSI参照モデル
18
イーサネットのヘッダ IPパケットのヘッダ TCPパケットのヘッダ データ イーサネットのFCS 図 3.4 実際に流れるデータの形式
19
図 3.5 パケットが生成される様子 データ TCPパケットのヘッダ TCPのデータ IPパケットのヘッダ IPのデータ
イーサネットのヘッダ イーサネットのデータ イーサネットのFCS 図 3.5 パケットが生成される様子
20
バス (b) バス型 (a) スター型 図 4.1 LANの形状(トポロジ) (c) リング型
21
図 4.2 同軸ケーブルを用いたイーサネット
22
図 4.3 MACアドレスの内容 先頭の1ビット目が0: 0は個別のアドレスであることを示す。
24ビット 24ビット 0 ベンダ識別子 ベンダ内での識別子 先頭の1ビット目が0: 0は個別のアドレスであることを示す。 普通は0である。もし1の場合にはグループアドレスである。 2番目の1ビットが0: ユニバーサルアドレスであることを示す。 普通は0である。もし1の場合はローカルアドレスである。 ベンダ識別子: OUI (Organizationally Unique Identifier) IEEEが管理している ベンダ内の識別子: 各ベンダが製品ごとに重複しないように管理する 図 4.3 MACアドレスの内容
23
リピータ 一つのイーサネットとして管理される ブリッジ 二つのイーサネットとして管理される 図 4.4 リピータとブリッジ
24
172.16.73.108 172 16 73 108 ネットワーク部 ホスト部 図 4.5 IPアドレスの実例 10進数 2進数 1 0
25
クラスA クラスB クラスC 図 4.6 伝統的なIPアドレスのクラス 8ビット 8ビット 8ビット 8ビット 0 1ビット 1 0
2ビット 1 0 クラスC 3ビット 図 4.6 伝統的なIPアドレスのクラス
26
IPヘッダの拡大図 図 5.1 IPパケットのフォーマット IPパケットのヘッダ IPのデータ サービスタイプ パケット長 (下に続く)
バージョン ヘッダ長 サービスタイプ パケット長 (下に続く) 識別子 フラグ フラグメントオフセット (下に続く) 生存時間 プロトコル ヘッダチェックサム (下に続く) 送信元IPアドレス (下に続く) 宛先IPアドレス (下に続く) オプション パディング 0 7 8 15 16 23 24 31 図 5.1 IPパケットのフォーマット
27
コンピュータA コンピュータB (1) (2) (3) DNSサーバ (4) (5) 図 5.2 簡単なネットワークの構成
28
ドメイン名: example.goto.waseda.ac.jp
IPアドレス: 133.9.81.79 MACアドレス: 00:08:0D:43:5A:D8 DNSによる ARPによる 図 5.3 アドレスの変換
29
IPアドレス: 133.9.81.79 RARPによる MACアドレス: 00:08:0D:43:5A:D8
ディスク コンピュータC ワークステーション コンピュータD ディスクレスワークステーション 自分のMACアドレスを知っているが 自分のIPアドレスを知らない IPアドレス: 133.9.81.79 MACアドレス: 00:08:0D:43:5A:D8 RARPによる 図 5.4 RARPによる逆向きの変換
30
ルータ 図 5.5 ルータは二股である
31
池袋 新宿 図 5.6 交通標識だけでは遠方までの情報が分からない
32
図 5.7 複数のルータが相互接続されている様子
巣鴨 池袋 新宿 渋谷 目黒 五反田 距離1 距離1 距離1 距離1 距離1 図 5.7 複数のルータが相互接続されている様子
33
図 5.8 ルータによる経路情報の交換 巣鴨 池袋 新宿 渋谷 目黒 五反田 初期値 目黒 ∞ 目黒 ∞ 目黒 ∞ 目黒 1 目黒 0 目黒
∞+1 1+1 min{(∞+1), (1+1)} 2回目 目黒 ∞ 目黒 ∞ 目黒 2 目黒 1 目黒 0 目黒 1 2+1 3回目 目黒 ∞ 目黒 3 目黒 2 目黒 1 目黒 0 目黒 1 3+1 4回目 目黒 4 目黒 3 目黒 2 目黒 1 目黒 0 目黒 1 図 5.8 ルータによる経路情報の交換
34
図 5.9 無限カウント問題 巣鴨 池袋 新宿 渋谷 目黒 五反田 定常状態 目黒 4 目黒 3 目黒 2 目黒 1 目黒 0 目黒 1
1回目 目黒 4 目黒 3 目黒 2 目黒 ∞ 目黒 0 目黒 1 3+1 ∞+1 min{(3+1), (∞+1)} 2回目 目黒 4 目黒 3 目黒 4 目黒 ∞ 目黒 0 目黒 1 4+1 3回目 目黒 4 目黒 5 目黒 4 目黒 ∞ 目黒 0 目黒 1 5+1 4+1 5+1 4回目 目黒 6 目黒 5 目黒 6 目黒 ∞ 目黒 0 目黒 1 図 5.9 無限カウント問題
35
TCPヘッダの拡大図 図 6.1 TCPパケットのヘッダ TCPパケットのヘッダ TCPのデータ 送信元ポート番号 宛先ポート番号
(下に続く) シーケンス番号(SEQ) (下に続く) 確認応答番号(ACK) (下に続く) データオフセット 予約済 コントロールフラグ ウィンドウサイズ (下に続く) チェックサム 緊急ポインタ (下に続く) オプション パディング 0 7 8 15 16 23 24 31 図 6.1 TCPパケットのヘッダ
36
UDPヘッダの拡大図 図 6.2 UDPパケットのヘッダ UDPパケットのヘッダ UDPのデータ 送信元ポート番号 宛先ポート番号
(下に続く) パケット長 チェックサム 0 7 8 15 16 23 24 31 図 6.2 UDPパケットのヘッダ
37
早稲田大学 大阪大学 中継(relay) 九州大学 図 6.3 昔の親切なメールサーバ
38
図 6.4 FTPのポート番号は複雑 FTPサーバ FTPクライアント FTPサーバ FTPクライアント PORTコマンドで1203を通知
21 1202 1203 FTPサーバ FTPクライアント 21 1202 20 1203 図 6.4 FTPのポート番号は複雑
39
図 6.5 TELNETの動作の例 % telnet muse01.mse.waseda.ac.jp
Trying Connected to muse01.mse.waseda.ac.jp. Escape character is '^]'. Red Hat Linux release 7.1 (Seawolf) Kernel smp on an i686 login: goto Password: ここはユーザ名をエコーしている パスワードはエコーしない 図 6.5 TELNETの動作の例
40
図 6.6 単方向のリンクと双方向のリンク パケット パケットとは データの塊の ことで… 単方向のリンク 参照する方から 参照される方へ
実際にパケットを 収集して… パケット パケットとは データの塊の ことで… 双方向のリンク 参照する方と 参照される方とを 相互にポイントする 実際にパケットを 収集して… 図 6.6 単方向のリンクと双方向のリンク
41
サーバ クライアント クライアント クライアント スーパーノード ノード ノード ノード 図 6.7 クライアント・サーバとP2Pの比較
42
図 7.1 コネクションの開始と終了 (a) 開始時の3-wayハンドシェイク (b) 終了時のFINとACK SYN FIN
SYN, ACK ACK 時間の経過 SYN, ACK FIN 時間の経過 ACK (a) 開始時の3-wayハンドシェイク (b) 終了時のFINとACK 図 7.1 コネクションの開始と終了
43
図 7.2 TCPのパケットとIPのパケットの包含関係
44
データ 通信回線 受信側 送信側 ACK 再送 受信側 送信側 ACK 図 7.3 ACKによる受信確認と再送
再送に備えてデータのコピーが必要 再送 受信側 送信側 ACK 何らかの理由でACKが返らない時には 正常な往復時間の2倍だけ待つ ACKが届かない時にはデータを再送する 図 7.3 ACKによる受信確認と再送
45
受信側 送信側 片道 2.5ms (ミリ秒) 経過時間 往復 5ms (ミリ秒) 図 7.4 送信側と受信側が450km離れている場合
データ 片道 2.5ms (ミリ秒) ACK 経過時間 往復 5ms (ミリ秒) 図 7.4 送信側と受信側が450km離れている場合
46
受信側 送信側 最初のデータのACKを 待たずに次々にデータを 送信する 図 7.5 ウィンドウ制御
47
送信するべきデータの並び 左から順番に送信する ACK ACK データ 送信済 送信済・ACK受信済 図 7.6 ウィンドウという意味
48
10Gbps 155Mbps W RTT スループット 13Mbps ウィンドウのサイズ(W) 図 7.7 スループットの限界
RTT, Round Trip Time, 往復遅延時間 W 通信回線の速度 RTT 直線の傾き スループット 155Mbps 通信回線の速度 13Mbps 通信回線の速度 ウィンドウのサイズ(W) 図 7.7 スループットの限界
49
測定用のマシン パケットを収集 通信 図 8.1 測定用のマシンを設置する
50
図 8.2 ソフトウェアで実現している測定器の例
注) 実際の画面は、もう少し鮮明に作成します。 図 8.2 ソフトウェアで実現している測定器の例
51
図 8.3 SNMPを用いたネットワークの管理法
コンピュータ SNMPのマネージャ (管理する側)となる ワークステーション ルータ スイッチ MIB II で規定されたカウンタ等 の数値をマネージャに返信 図 8.3 SNMPを用いたネットワークの管理法
52
図 8.4 経路のループ
53
図 9.1 プロバイダのネットワーク構成 他ISP 他ISP 他ISP 対外接続 対外接続 対外接続 バックボーン POP
(Point of Presence) POP POP データセンタ 無線LAN 電話 (ダイアルアップ) ADSL FTTH 専用線 アクセス 個人利用者 企業利用者
54
図 9.2 Single Star方式とDouble Star方式
SS: Single Star 方式 光ファイバで 利用者と収容ビルを 直結 DS: Double Star 方式 (PON方式) B-PON、G-PON, E-PON 収容ビル OLT OLT OLT 2007/04/07 修正 外山 利用者宅 利用者宅
55
図 9.3 地域拠点(POP)のネットワーク構成 バックボーン R R バックボーン 接続ルータ R R 地域拠点 (POP) SW SW
集約スイッチ R R R R 利用者収容ルータ 2007/04/07 修正 外山 ・タイトル ・POP→地域拠点(POP) 個人利用者 企業利用者
56
図 9.4 データセンタ インターネット インターネット 地域拠点 (POP) 地域拠点 (POP) データセンタ 専用線 専用線 サーバ
図 9.4 データセンタ インターネット インターネット 地域拠点 (POP) 地域拠点 (POP) データセンタ 専用線 専用線 サーバ 企業 ネットワーク 企業 ネットワーク 2007/04/07 修正 外山 ・POP → 地域拠点(POP) サーバ サーバへのアクセス集中が 専用線の混雑を招く サーバへアクセスが集中しても 専用線には影響なし
57
図 9.5 バックボーンの構成 大阪 東京 第一面 第二面 大阪第一 東京第一 大阪第二 東京第二 大阪第一 東京第一 大阪第二 東京第二
図 9.5 バックボーンの構成 大阪 東京 R R 大阪第一 東京第一 R R 大阪第二 東京第二 第一面 R R 大阪第一 東京第一 R R 2007/04/07 修正 外山 ・POP→地域拠点(POP) 大阪第二 東京第二 第二面 地域拠点 (POP)から 拠点間を結ぶ回線においては、POSが良く用いられる。 (POS: Packet over SONET/SDH) 地域拠点 (POP)から
58
図 9.6 トランジットとピアリング トランジット Transit ピアリング Peering インターネット全域 プロバイダ プロバイダX
図 9.6 トランジットとピアリング トランジット Transit ピアリング Peering インターネット全域 プロバイダX プロバイダY プロバイダ このプロバイダが、プロバイダX発着のパケットをインターネット全域へ中継してくれる プロバイダXとプロバイダYを発着とするパケットのみを受け渡しする プロバイダX
59
図 9.7 ピアリングの種別 プライベートピアリング (パブリック)ピアリング レイヤ2 (パブリック)ピアリング レイヤ3 SW R
図 9.7 ピアリングの種別 プライベートピアリング (パブリック)ピアリング レイヤ2 (パブリック)ピアリング レイヤ3 プロバイダ プロバイダ プロバイダ プロバイダ プロバイダ プロバイダ SW R プロバイダ プロバイダ プロバイダ プロバイダ プロバイダ プロバイダ BGP接続 プライベートピアリング 【Layer2】 (パブリック)ピアリング 【Layer2】 (パブリック)ピアリング 【Layer3】 概要 ・ピアしたい相手と専用の回線を使って直接接続する。 ・L2スイッチにつなぎ込み、そのLAN上で相互接続する(BGPを張る) ・L3であるルータに接続する。仲介ルータが経路受け渡しポリシを決める 利点 ・他のトラフィックに影響されない ・物理インタフェースが少なく済む ・ピア相手が増えてきても、ピア数は1つだけですむ。 欠点 ・ピアする相手が増えるとルータの物理インタフェースが増加 ・他プロバイダのトラフィックに影響される ・相手プロバイダごとに受け渡しする経路情報を変えることが困難
60
図 9.8 国内で相互接続しない場合: パケットが太平洋を往復する
図 9.8 国内で相互接続しない場合: パケットが太平洋を往復する プロバイダA プロバイダB プロバイダX プロバイダY 日本 米国
61
図 9.9 冗長化における注意点 大阪 東京 大阪第一 東京第一 大阪第二 東京第二 R R R R ファイバ または 管路
図 9.9 冗長化における注意点 大阪 東京 R R 大阪第一 東京第一 R R 大阪第二 ファイバ または 管路 東京第二 多重化装置 多重化装置 専用線が二本あっても、 ・同じ管路を通る または ・同じファイバを通っている ならば障害が発生したときに 両方ダウンするため意味がない
62
図 9.10 バックボーンにおける経路制御の例(OSPF)
福岡 大阪 東京 100 100 R R R 40 30 20 R R R 100 100 (1) (2) (3) (1) = = 140 (2) = = 130 (3) = = 120 最適経路 大阪-東京の専用線に障害発生 福岡 大阪 東京 100 100 R R R 40 30 20 R R R 100 100 (1) (2) (1) = = 140 (2) = = 130 最適経路
63
図 9.11 地域拠点(POP)の冗長構成 バックボーン R R バックボーン 接続ルータ R R 地域拠点 (POP) SW SW
バックボーン接続ルータ、利用者収容ルータにOSPFを設定する。 障害に伴い、経路を最適経路に切り替える。 SW SW 集約スイッチ R R R R 利用者収容ルータ 2007/04/07 修正 外山 ・タイトル ・POP→地域拠点(POP) 個人利用者 企業利用者
64
図 9.12 対外接続の冗長化 サーバ インターネット全域 IX IX サーバ プロバイダ-1 プロバイダ-2 プロバイダ-3 プロバイダB
図 9.12 対外接続の冗長化 サーバ インターネット全域 上流プロバイダを二重化。 ルータも分けておく プロバイダ-1 プロバイダ-2 プロバイダ-3 プロバイダA プロバイダB IX プロバイダC IX サーバ IX接続を二重化。 ルータも分けておく
65
図 9.13 日米のネットワークトポロジの違い シアトル ロサン ゼルス ダラス シカゴ ワシントンDC ニューヨーク マイアミ 東京 大阪
図 9.13 日米のネットワークトポロジの違い シアトル ロサン ゼルス ダラス シカゴ ワシントンDC ニューヨーク マイアミ 東京 大阪 名古屋 札幌 広島 福岡 仙台 北米へ アジアへ 日本はほとんど東京に一極集中。 東京中心のトポロジとなっている。 バックボーンネットワークの構成例(米国) 米国は広い国土に大都市が分散。 梯子形に都市をつなぐと複数経路のあるトポロジとなる バックボーンネットワークの構成例(日本)
66
図 9.14 プロバイダの主な収入と支出 収入 支出 プロバイダ 上流プロバイダ への利用料金 (トランジット料) 顧客(消費者・
図 9.14 プロバイダの主な収入と支出 収入 支出 プロバイダ 上流プロバイダ への利用料金 (トランジット料) 顧客(消費者・ 企業)からの 利用料金 IXへの接続料金 顧客(プロバイダ) からの利用料金 設備への投資 (ルータ、サーバなど) (専用線など) その他 営業費用等
67
図 9.15 トランジット費用 インターネット全域 プロバイダA プロバイダB プロバイダD プロバイダE プロバイダC 料金を支払って
図 9.15 トランジット費用 インターネット全域 プロバイダA プロバイダB 料金を支払って 運んでもらう プロバイダD プロバイダE プロバイダC
68
プロバイダCとプロバイダEの間のトラフィックはここを通す。
図 9.16 ピアリング費用 ピアリングすると、 プロバイダCとプロバイダEのトラフィックはここを流れなくなる。 つまり料金を支払う分が節約できる プロバイダA プロバイダB プロバイダD × プロバイダE プロバイダC 相互接続点 IX ピアリングして、 プロバイダCとプロバイダEの間のトラフィックはここを通す。
69
図 9.17 プロバイダの課金モデル例 (95%課金) 通信速度 時刻 通信速度が大きい順に並び替え 通信速度 5% 95% この速度を
図 9.17 プロバイダの課金モデル例 (95%課金) 通信速度 時刻 通信速度が大きい順に並び替え 通信速度 この速度を 最大速度と して課金 5% 95%
70
図 9.18 収益と費用 プロバイダ-A プロバイダ-B 接続料を払う 上流プロバイダへ トランジット料を払う プロバイダ-X
図 9.18 収益と費用 コンテンツ 事業者 対等ピアリング プロバイダ-A プロバイダ-B 接続料を払う 上流プロバイダへ トランジット料を払う プロバイダ-X プロバイダ-Y
71
表 9.1 各部分における冗長構成 アクセス POP バックボーン 対外接続 物理層 (企業向け) ・ファイバ敷設経路冗長化 (一般向け)
表 9.1 各部分における冗長構成 アクセス POP バックボーン 対外接続 物理層 (企業向け) ・ファイバ敷設経路冗長化 (一般向け) ・冗長化は困難 ・バックボーン2つのルータへ接続 ・ルータやスイッチ間接続冗長化 ・ファイバ敷設経路の二重化 ・ルータ冗長構成化(筐体・電源・インタフェース) ・対外接続ルータ複数化・冗長構成化 ・接続IX複数化(地理的分散 論理層 ・経路制御で冗長化 (一般向け) ・マルチセッション可能なら複数プロバイダへ接続 ・POP内LANの冗長化 ・経路制御(BGP、OSPFで冗長化) ・経路制御(BGP、OSPF)で冗長化 ・経路制御(BGP)で複数接続
72
図 10.1 サービス妨害攻撃 (1) インターネット接続回線を溢れさせる
図 10.1 サービス妨害攻撃 (1) インターネット接続回線を溢れさせる インターネット 攻撃者 × 被害者 インターネットへの接続回線が混雑し、被害の会社→インターネットへの通信ができない
73
図 10.2 サービス妨害攻撃 (2) サーバの処理が追いつかなくする
図 10.2 サービス妨害攻撃 (2) サーバの処理が追いつかなくする SYN SYN インターネット SYN SYN SYN SYN SYN SYN SYN SYN SYN SYN SYN SYN SYN SYN 被害者 SYN SYN SYN SYN サーバでの接続受付処理が混雑し、必要なメモリ等が確保できず、サービス提供が困難になる
74
図 10.3 Botnetの構成 SPAMメール送信 DDoS攻撃 情報漏洩 悪者 (Herder) ポートスキャン、 感染活動
命令 DDoS攻撃 情報漏洩 悪者 (Herder) ポートスキャン、 感染活動 制御チャネル (IRCなど) ゾンビPC (感染したPC)
75
図 10.4 spam防止策: 大量メールの遮断 メール 転送サーバ 正規利用者 他プロバイダへ SPAM送信者 プロバイダ
一気に多数の宛先へメールを送ることを拒否 プロバイダ
76
図 10.5 送信ドメイン認証の一例: DKIM (Domain keys Identified Mail)
(2) 正当な利用者から届いたメールは、送信元ドメインの電子署名を作成し、これを付加して送付する。 (3) 届いたメールの送信ドメインのDNSサーバから公開鍵を入手。メールの署名を検証する。 メール転送サーバ 利用者は メール転送サーバで 認証される メール転送サーバ 2007/04/07 修正 外山 ・タイトル example1.co.jp example2.co.jp DNSサーバ (example1.co.jp) (1) あらかじめ署名検証用の公開鍵をDNSに登録しておく
77
図 10.6 OP25B, Outbound Port 25 Blockingと サブミッションポートの使用 【対策前】
他プロバイダのメール転送サーバを使える。 メール 転送サーバ 正規利用者 25 25 25 プロバイダ 25 SPAM送信者 プロバイダ プロバイダ SMTP(TCP/25)にて、すべてメール転送を受け付け。
78
図 10.7 OP25B, Outbound Port 25 Blocking) と サブミッションポートの使用 【導入後】
プロバイダから他プロバイダへ出るポート25番を遮断する。(他プロバイダのメール転送サーバを使わせない) 正規利用者も25番ポートは使えない。 Submission port (587)を使う。このときSMTP認証で利用者を認証する。 メール 転送サーバ 正規利用者 587 25 25 25 プロバイダ 25 SPAM送信者 プロバイダ プロバイダ 固定IPアドレスを使うプロバイダのメール転送サーバからのTCP25(SMTP)のみ受け付ける。 動的に割り当てているIPアドレスからは25番ポートを受け付けない
79
図 10.8 SYN Flood攻撃 利用者 サーバ SYN 返答なし
(1) 送信元アドレスを詐称して、標的にTCP SYNパケットを大量に送る。 (2) TCP接続準備(メモリ確保など)をして、応答を待つ。 届かない タイムアウトまで待つ (メモリ保持) 開放 返答なし (3) 返答がないのでタイムアウトまで待ち状態が続く。 この間、新たな接続要求を受付られず。サービス提供不可。 (4) タイムアウトして資源(メモリなど)を開放、新たな接続受付可能
80
図 10.9 Smurfing攻撃 R R R PC PC PC PC PC PC PC PC PC
・送信元アドレスを標的のIPアドレスとする。 ・ブロードキャストアドレスに向けてICMPを送信する。 PC R PC ・1個のICMP echo request パケットが複数のICMP echo request パケットと増幅されて、標的へ向かう
81
図 10.10 DNS増幅攻撃 (DNS Amp Attack)
権威 サーバ 回答 DNS キャッシュ サーバ ・パケットサイズが大きくなるレコードが存在する 回答 問 回答 攻撃者 問 DNS キャッシュ サーバ 回答 回答 問 問 攻撃目標 回答 問 2007/04/07 修正 外山 問 回答 DNS キャッシュ サーバ ・送信元アドレスを標的のIPアドレスとする。 ・あるドメインのDNSレコードを問い合わせる。 (回答パケットのサイズが大きいレコードが返るようなレコードを問い合わせる) ・小さいサイズのDNS問い合わせパケットが大きいサイズのDNS回答パケットに増幅されて、標的へ向かう インターネット
82
図 10.11 ネットワークの異常監視 プロバイダの 利用者の ネットワーク R ネットワーク R R R トラフィック情報
図 10.11 ネットワークの異常監視 プロバイダの ネットワーク 利用者の ネットワーク R R R R トラフィック情報 トラフィック情報
83
図 10.12 異常トラフィックの制御: フィルタによるパケット廃棄
図 10.12 異常トラフィックの制御: フィルタによるパケット廃棄 プロバイダの ネットワーク 利用者の ネットワーク R R 廃棄 廃棄 R R 廃棄 各ルータに指示を出し、特定のフローをフィルタで廃棄する 2007/04/07 修正 外山 ・「廃棄」文字追加 ネットワーク運用者
84
図 10.13 異常トラフィックの制御: 異常パケット除去装置
図 10.13 異常トラフィックの制御: 異常パケット除去装置 プロバイダの ネットワーク 利用者の ネットワーク R R R R 除去装置 各ルータに指示を出し、特定のフローを除去装置へ向ける 除去装置で、可能な限り「攻撃パケット」だけを取り除く。 残りの正規なパケットのみを利用者に届ける。 ネットワーク運用者
85
図 10.14 ファイアウォール インターネット ブロードバンドルータ 一般利用者 ファイアウォール 企業
図 10.14 ファイアウォール インターネット ブロードバンドルータ 一般利用者 ファイアウォール 企業 インターネットと、社内や家庭内NWとでは、セキュリティレベルに差がある
86
図 10.15 ファイアウォールの構成 DMZ インターネットからDMZへのDNS、メール、Webアクセスは許可。
図 10.15 ファイアウォールの構成 DMZ DNS サーバ インターネットからDMZへのDNS、メール、Webアクセスは許可。 それ以外プロトコルのDMZへのアクセスは禁止。 社内からDMZへは、DNS、メール、Webは許可。 それ以外は禁止。 外部向け メールサーバ 外部向け Webサーバ DNS Cache サーバ 企業 社内ネットワーク ファイアウォール インターネットから社内ネットワークへのアクセスは禁止 社内からインターネットへは、外部Webへのアクセスなど一部は許可。それ以外は禁止。
87
表 11.1 Lipseyによる24の汎用技術 1.植物の栽培 —8000 BC 2.動物の家畜化 —7500 BC 3.鉱石の精錬 —7000 BC 4.車輪 —3000 BC 5.筆記 —3200 BC 4.青銅 BC 7.鉄 BC 8.水車 中世初期 中世とは西ローマ帝国の滅亡(476)からルネサンスまで
88
(続き) 9.3本マストの帆船 th 世紀 10.印刷 th 世紀 11.蒸気機関 18th 世紀末~19th 世紀初頭 12.工場 18th 世紀末~19th 世紀初頭 13.鉄道 th 世紀中頃 14.鋼製汽船 th 世紀中頃 15.内燃機関 19th 世紀終り頃 16.電気 th 世紀末頃
89
(続き) 17.自動車 20世紀 18.飛行機 20世紀 19.大量生産 20世紀 20.コンピュータ 20世紀
17.自動車 20世紀 18.飛行機 20世紀 19.大量生産 20世紀 20.コンピュータ 20世紀 21.Lean production 20世紀 22.インターネット 20世紀 23.バイオテクノロジー 20世紀 24.ナノテクノロジー 21世紀(予想)
Similar presentations
© 2025 slidesplayer.net Inc.
All rights reserved.