メインコンテンツへスキップ
検索

ここ数週間の間に、何人かの人から不思議と現れては消えていくルートについて質問を受けました。例えば、以下のようなものです。

ルート印字

デフォルトゲートウェイ: 10.10.10.10.1

ネットワークアドレス ゲートウェイアドレス サブネットマスク リダイレクトライフ
172.16.0.0       10.10.10.172     255.255.0.0
図 1 - オリジナルのルーティングテーブル

その上で

ルート印字

デフォルトゲートウェイ: 10.10.10.10.1

ネットワークアドレス ゲートウェイアドレス サブネットマスク リダイレクトライフ
172.16.0.0       10.10.10.172     255.255.0.0
172.16.1.2 255.255.255.255.255 10.10.10.10.254 5分
図2 - 追加された動的ルート

そして5分後には

ルート印字

デフォルトゲートウェイ: 10.10.10.10.1

ネットワークアドレス ゲートウェイアドレス サブネットマスク リダイレクトライフ
172.16.0.0       10.10.10.172     255.255.0.0
図 3 - 削除された動的ルート

これらのダイナミックルートは、STCP スタックがあるルータから別のルータを使用するように指示する ICMP リダイレクトメッセージを受信したときに追加されます。表示で示されているように、ルートの有効期限は5分なので、5分後に削除されます。もちろん、スタックが別のリダイレクトメッセージを受信した場合はすぐに戻ってくることができます。

プロセスを詳しく説明するために、ルータ10.10.10.172を介して172.16.0.0.0/16ネットワークへのルートでSTCPが定義されているとします。さらに、ネットワーク上には、IPアドレスが10.10.10.10.254の別のルータがあります。これらのルータをR-172とR-254と呼ぶことにします。R-172とR-254はどちらも172.16.0.0/16ネットワークに到達できますが、R-172は高帯域幅のT3接続を使用し、R-254は低帯域幅のダイヤルアップISDNリンクを使用しています。

STCPルートは上の図1のようになっていますが、R-254を使用した明示的なルートがないことに注意してください。

R-172 の T3 リンクがダウンすると、172.16.0.0/16 ネットワークに到達できなくなりますが、R-254 は到達できることを知っているので、172.16.1.2 にパケットが入ってくると、R-254 にパケットを転送し、送信者に ICMP リダイレクトメッセージを送り返します。この場合、送信者である STCP は、172.16.1.2 に到達するためには、R-254 にパケットを送信する必要があることを示す動的ホストルートを構築します。

これらはホストルートなので、172.16.16.0.0.0/16 ネットワーク上でパケットを送信されたすべてのホストは、独自の 5 分間タイマーで独自のルートを取得します。route コマンドは各ルートの現在の残りの有効期間を表示します。

ルート印字

デフォルトゲートウェイ: 10.10.10.10.1

ネットワークアドレス ゲートウェイアドレス サブネットマスク リダイレクトライフ
172.16.0.0       10.10.10.172     255.255.0.0
172.16.1.1 255.255.255.255 10.10.10.254 5分
172.16.1.8 255.255.255.255.255 10.10.10.254 2分
172.16.1.23 255.255.255.255.255 10.10.10.10.254 2分
172.16.1.65 255.255.255.255.255 10.10.10.254 2分
172.16.1.101 255.255.255.255.255 10.10.10.10.254 3分
172.16.1.200 255.255.255.255.255 10.10.10.10.254 5分
図4 - 複数のホストルート

R-172 の T3 リンクが立ち上がったときに何が起こるかというと、ホストルートを持たないホストは何事もなかったかのように R-172 を使用します。ホストルートを持つホストは、R-172 のリンクが復旧したことを知っている R-254 を使用します(ルータはお互いにルートの状態を交換します)。R-254 は ICMP リダイレクトを送信者に送り返し、R-172 を使った新しいホストルートを作成します(図 5)。

ルート印字

デフォルトゲートウェイ: 10.10.10.10.1

ネットワークアドレス ゲートウェイアドレス サブネットマスク リダイレクトライフ
172.16.0.0       10.10.10.172     255.255.0.0
172.16.1.9 255.255.255.255.255 10.10.10.172 3分
172.16.1.18 255.255.255.255.255 10.10.10.172 4分
172.16.1.20 255.255.255.255.255 10.10.10.172 2分
図5 - 元のルータにリダイレクトされたホストルート

いくつかの条件の下では、STCPが動的なルートを作成しないことは意味があるかもしれません。例えば、R-254 がダウンしていて、R-172 の情報が削除されていない静的なエントリである場合はどうでしょうか。その場合、172.16.0.0.0/16 ネットワーク上のホストへのパケットは、R-254 に到達できないとドロップされてしまいます。R-172 の T3 が立ち上がったとき、172.16.0.0.0/16 のホストにはホストルートがなくても到達可能だが、R-254 のホストルートがあるホストには到達できないという状況になります。R-254 のルートがタイムアウトしていくうちに、より多くのホストに到達できるようになりますが、完全に回復するまでには 5 分かかります。

セキュリティの専門家の中には、このようにして作成された動的なルートをセキュリティ上の問題と見ている人もいます。ネットワーク上のどのホストでも ICMP リダイレクトメッセージを送信することができ、パケットを別のゲートウェイにリダイレクトすることができ、パスワードやアカウント情報などの機密性の高い内容のパケットをキャプチャすることができます。

では、このようなルートができないようにする方法はあるのでしょうか?

はい、STCP構成パラメータlisten_redirectsは、STCPがICMPリダイレクトメッセージをどのように処理するかを制御します。デフォルトの設定"on"では、STCPはこれらのダイナミックルートを作成し、"off"では、STCPはICMPリダイレクトメッセージを無視するように設定します。

as: list_stcp_params listen_redirects

ICMP リダイレクトをリッスンする [off/on] (listen_redirects) on 

as: set_stcp_param listen_redirects off

ICMPリダイレクトのリスナーを変更する (listen_redirects)
オンオフ
図 6 - listen_redirect STCP パラメータの設定

このパラメータはシステム全体に影響を与えるので、STCPが一部のルータからのリダイレクトをリッスンするように指定することはできません。

メニューを閉じる

© 2020ストラタステクノロジー.