RTシリーズのIPパケット・フィルタに関するFAQ

ip filter directed-broadcastコマンドは何のためにあるのですか？

• ip filter directed-broadcastコマンド

  「終点IPアドレスがDirected Broadcastアドレス宛になっているIPパケット」をフィルタリングする機能の設定コマンドです。

• directed broadcast addressとは？

  IPアドレスのホスト部が全て"1"であるアドレスです。
  歴史的には、ホスト部が全て"0"であるアドレスを Broadcastアドレスと認識するものもありました。

• 何故、フィルタリングする必要性があるのですか？

  directed broadcast addressを終点IPアドレスとした smurf attackから守るため。

• フィルタリングの設定は？

  次のように設定するとDirected Broadcast宛のIPパケットをルーティング しなくなります。(該当するパケットが破棄されます)

  ip filter directed-broadcast on

• ip filter directed-broadcastコマンドに依らないフィルタ方法

  「smurf攻撃に対処するフィルタを教えて下さい。」

• ip filter directed-broadcastコマンドの利点
  • パケットフィルタによる防御と実現できる内容は、同じ。
  • フィルタよりも意味を明確にできる
  • ルータが宛先IPアドレスをDirected broadcastと判断したものをすべて落すので、 設定を間違える可能性のあるフィルタより確実
  • アドレスの変更や、セカンダリアドレスを追加したりした時でも、 フィルタを変更しなくていい

• ip filter directed-broadcastコマンドの対応リビジョン
  • Rev.3.00.23 (機能追加[1])
  • Rev.3.00.30 (バグ修正[19])
  • Rev.3.03.34 (RTA50i. 仕様変更[4])

[ トラブル対策 ]

• Rev.3.00.23〜28を利用しているが、ip filter directed-broadcastが 機能していない。

  Rev.3.00.23〜28では、ip filter directed-broadcastが 機能しておりません。
  Rev.3.00.30以降にリビジョンアップしてください。

[ 関連情報 ]

• http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/ip-spoofing-filter.html
  IPアドレス・スプーフィング攻撃(ip spoofing)に対処するフィルタを教えて下さい。
• http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/smurf-attack-filter.html
  smurf攻撃に対処するフィルタを教えて下さい。
• http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/land-attack-filter.html
  land攻撃に対処するフィルタを教えて下さい。

[ 関連リリースノート ]

• Rev.1.04.06(ip filter source-route)
• Rev.3.00.23(ip filter directed-broadcast)
• Rev.3.00.30(Rev.3.00.23〜28で動作していなかった)
• Rev.3.03.34 (RTA50i: ip filter directed-broadcast)

[ 関連RFC ]

• RFC1812 (Requirements for IP Version 4 Routers)
• RFC2644 (Changing the Default for Directed Broadcasts in Routers)

[ FAQ for RT-Series ]
[ FAQ for IP Packet Filter / files / TCP/IP ]