マルチレイヤ·バインディング（MLB）ルータによるサイバー攻撃対策技術－廃棄要請プロトコル（DRP）の提案と,OpenFlowを用いた実装評価

摘要

近年のサイバー攻撃はこれまでの「自分を守る」セキュリティ技術では防ぐことは難しく，「インターネット全体での取り組み」が必要である．その解決案として、サイバー攻撃パケットのインターネットへの流出及び流入を阻止するMLBルータが提案されている．そのポイントは，（1）接続要求のあった物理ポートをキーに，IPアドレスとMACアドレスの対をMLBテーブルに登録し，受信したパケットの送信元IPアドレスと送信元MACアドレスの対がMLBテーブルに存在しないとき，アドレス詐称パケットと見なして廃棄する，（2）他のノードからの廃棄要請を受けて，以後，該当するアドレス非詐称攻撃パケットや匿名アドレスパケットなどを廃棄するMLBルータを利用者出口とインターネット入口に配置することにある．本稿は，廃棄要請に関わるもので，まず世界中に散在するMLBルータの中から，攻撃パケットの廃棄を要請するMLBルータを発見し，その真正性を附した廃棄要請情報を該当するMLB ルータへ送信するためのプロトコルを提案する．次いで，OpenFlowを用いて廃棄要請プロトコルの枠組みを実装したテストベットを構築し，標的型攻撃を模した攻撃実験を行った．その結果，攻撃を検知してから230ミリ秒後に，攻撃パケットのインターネットへの流入及び被害ノードからの情報漏洩パケットの流出を阻止できたことを確認した．