[要約] RFC 4948は、2006年3月9日から10日にかけて開催されたIABワークショップ「望ましくないトラフィックに関する報告」についての要約です。このRFCの目的は、望ましくないトラフィックに関する問題を議論し、解決策を提案することです。

Network Working Group                                       L. Andersson
Request for Comments: 4948                                      Acreo AB
Category: Informational                                        E. Davies
                                                        Folly Consulting
                                                                L. Zhang
                                                                    UCLA
                                                             August 2007
        

Report from the IAB workshop on Unwanted Traffic March 9-10, 2006

2006年3月9日から10日の不要なトラフィックに関するIABワークショップからのレポート

Status of This Memo

本文書の位置付け

This memo provides information for the Internet community. It does not specify an Internet standard of any kind. Distribution of this memo is unlimited.

このメモは、インターネットコミュニティに情報を提供します。いかなる種類のインターネット標準を指定しません。このメモの配布は無制限です。

Copyright Notice

著作権表示

Copyright (C) The IETF Trust (2007).

著作権(c)The IETF Trust(2007)。

Abstract

概要

This document reports the outcome of a workshop held by the Internet Architecture Board (IAB) on Unwanted Internet Traffic. The workshop was held on March 9-10, 2006 at USC/ISI in Marina del Rey, CA, USA. The primary goal of the workshop was to foster interchange between the operator, standards, and research communities on the topic of unwanted traffic, as manifested in, for example, Distributed Denial of Service (DDoS) attacks, spam, and phishing, to gain understandings on the ultimate sources of these unwanted traffic, and to assess their impact and the effectiveness of existing solutions. It was also a goal of the workshop to identify engineering and research topics that could be undertaken by the IAB, the IETF, the IRTF, and the network research and development community at large to develop effective countermeasures against the unwanted traffic.

このドキュメントは、不要なインターネットトラフィックに関するインターネットアーキテクチャボード(IAB)が開催したワークショップの結果を報告しています。このワークショップは、2006年3月9日から10日に米国カリフォルニア州マリーナデルレイのUSC/ISIで開催されました。ワークショップの主な目標は、たとえば分配されたサービス拒否(DDO)攻撃、スパム、フィッシングで明らかにされているように、不要なトラフィックのトピックに関するオペレーター、標準、および研究コミュニティの間の交換を促進することでした。これらの不要なトラフィックの究極のソースについて、および既存のソリューションの影響と有効性を評価します。また、IAB、IETF、IRTF、およびネットワーク研究開発コミュニティが実施する可能性のあるエンジニアリングと研究のトピックを特定するために、不要なトラフィックに対する効果的な対策を開発することができるエンジニアリングと研究のトピックを特定することは、ワークショップの目標でした。

Table of Contents

目次

   1.  Introduction . . . . . . . . . . . . . . . . . . . . . . . . .  3
   2.  The Root of All Evils: An Underground Economy  . . . . . . . .  4
     2.1.  The Underground Economy  . . . . . . . . . . . . . . . . .  5
     2.2.  Our Enemy Using Our Networks, Our Tools  . . . . . . . . .  6
     2.3.  Compromised Systems Being a Major Source of Problems . . .  7
     2.4.  Lack of Meaningful Deterrence  . . . . . . . . . . . . . .  8
     2.5.  Consequences . . . . . . . . . . . . . . . . . . . . . . . 10
   3.  How Bad Is The Problem?  . . . . . . . . . . . . . . . . . . . 10
     3.1.  Backbone Providers . . . . . . . . . . . . . . . . . . . . 10
       3.1.1.  DDoS Traffic . . . . . . . . . . . . . . . . . . . . . 10
       3.1.2.  Problem Mitigation . . . . . . . . . . . . . . . . . . 11
     3.2.  Access Providers . . . . . . . . . . . . . . . . . . . . . 12
     3.3.  Enterprise Networks: Perspective from a Large
           Enterprise . . . . . . . . . . . . . . . . . . . . . . . . 13
     3.4.  Domain Name Services . . . . . . . . . . . . . . . . . . . 14
   4.  Current Vulnerabilities and Existing Solutions . . . . . . . . 15
     4.1.  Internet Vulnerabilities . . . . . . . . . . . . . . . . . 15
     4.2.  Existing Solutions . . . . . . . . . . . . . . . . . . . . 16
       4.2.1.  Existing Solutions for Backbone Providers  . . . . . . 16
       4.2.2.  Existing Solutions for Enterprise Networks . . . . . . 17
     4.3.  Shortfalls in the Existing Network Protection  . . . . . . 18
       4.3.1.  Inadequate Tools . . . . . . . . . . . . . . . . . . . 18
       4.3.2.  Inadequate Deployments . . . . . . . . . . . . . . . . 18
       4.3.3.  Inadequate Education . . . . . . . . . . . . . . . . . 19
       4.3.4.  Is Closing Down Open Internet Access Necessary?  . . . 19
   5.  Active and Potential Solutions in the Pipeline . . . . . . . . 20
     5.1.  Central Policy Repository  . . . . . . . . . . . . . . . . 20
     5.2.  Flow Based Tools . . . . . . . . . . . . . . . . . . . . . 21
     5.3.  Internet Motion Sensor (IMS) . . . . . . . . . . . . . . . 21
     5.4.  BCP 38 . . . . . . . . . . . . . . . . . . . . . . . . . . 22
     5.5.  Layer 5 to 7 Awareness . . . . . . . . . . . . . . . . . . 22
     5.6.  How To's . . . . . . . . . . . . . . . . . . . . . . . . . 22
     5.7.  SHRED  . . . . . . . . . . . . . . . . . . . . . . . . . . 23
   6.  Research in Progress . . . . . . . . . . . . . . . . . . . . . 23
     6.1.  Ongoing Research . . . . . . . . . . . . . . . . . . . . . 23
       6.1.1.  Exploited Hosts  . . . . . . . . . . . . . . . . . . . 23
       6.1.2.  Distributed Denial of Service (DDoS) Attacks . . . . . 25
       6.1.3.  Spyware  . . . . . . . . . . . . . . . . . . . . . . . 26
       6.1.4.  Forensic Aids  . . . . . . . . . . . . . . . . . . . . 26
       6.1.5.  Measurements . . . . . . . . . . . . . . . . . . . . . 27
       6.1.6.  Traffic Analysis . . . . . . . . . . . . . . . . . . . 27
       6.1.7.  Protocol and Software Security . . . . . . . . . . . . 27
     6.2.  Research on the Internet . . . . . . . . . . . . . . . . . 27
       6.2.1.  Research and Standards . . . . . . . . . . . . . . . . 28
       6.2.2.  Research and the Bad Guys  . . . . . . . . . . . . . . 29
        
   7.  Aladdin's Lamp . . . . . . . . . . . . . . . . . . . . . . . . 30
     7.1.  Security Improvements  . . . . . . . . . . . . . . . . . . 30
     7.2.  Unwanted Traffic . . . . . . . . . . . . . . . . . . . . . 31
   8.  Workshop Summary . . . . . . . . . . . . . . . . . . . . . . . 31
     8.1.  Hard Questions . . . . . . . . . . . . . . . . . . . . . . 31
     8.2.  Medium or Long Term Steps  . . . . . . . . . . . . . . . . 32
     8.3.  Immediately Actionable Steps . . . . . . . . . . . . . . . 33
   9.  Terminology  . . . . . . . . . . . . . . . . . . . . . . . . . 33
   10. Security Considerations  . . . . . . . . . . . . . . . . . . . 38
   11. Acknowledgements . . . . . . . . . . . . . . . . . . . . . . . 38
   12. Informative References . . . . . . . . . . . . . . . . . . . . 39
   Appendix A.  Participants in the Workshop  . . . . . . . . . . . . 40
   Appendix B.  Workshop Agenda . . . . . . . . . . . . . . . . . . . 41
   Appendix C.  Slides  . . . . . . . . . . . . . . . . . . . . . . . 41
        
1. Introduction
1. はじめに

The Internet carries a lot of unwanted traffic today. To gain a better understanding of the driving forces behind such unwanted traffic and to assess existing countermeasures, the IAB organized an "Unwanted Internet Traffic" workshop and invited experts on different aspects of unwanted traffic from operator, vendor, and research communities to the workshop. The intention was to share information among people from different fields and organizations, fostering an interchange of experiences, views, and ideas between the various communities on this important topic. The major goal of this workshop was to stimulate discussion at a deep technical level to assess today's situation in regards to:

インターネットは、今日、多くの望ましくないトラフィックを持っています。このような不要なトラフィックの背後にある原動力をよりよく理解し、既存の対策を評価するために、IABは「不要なインターネットトラフィック」ワークショップを組織し、オペレーター、ベンダー、および研究コミュニティからの不要なトラフィックのさまざまな側面に関する専門家をワークショップに招待しました。意図は、さまざまな分野や組織の人々の間で情報を共有し、この重要なトピックに関するさまざまなコミュニティ間の経験、意見、アイデアの交換を促進することでした。このワークショップの主な目標は、深い技術レベルで議論を刺激して、次のように今日の状況を評価することでした。

o the kinds of unwanted traffic that are seen on the Internet,

o インターネットで見られる不要なトラフィックの種類、

o how bad the picture looks,

o 絵がどれほど悪く見えるか、

o who and where are the major sources of the problem,

o 問題の主要な情報源は誰でどこで、

o which solutions work and which do not, and

o どのソリューションが機能し、どのソリューションが機能しません

o what needs to be done.

o 何をする必要がありますか。

The workshop was very successful. Over one and half days of intensive discussions, the major sources of the unwanted traffic were identified, and a critical assessment of the existing mitigation tools was conducted. However, due to the limitation of available time, it was impossible to cover the topic of unwanted traffic in its entirety. Thus, for some of the important issues, only the surface was touched. Furthermore, because the primary focus of the workshop was to collect and share information on the current state of affairs, it is left as the next step to attempt to derive solutions to the issues identified. This will be done in part as activities within the IAB, the IETF, and the IRTF.

ワークショップは非常に成功しました。1日半の集中的な議論で、不要なトラフィックの主要な情報源が特定され、既存の緩和ツールの重要な評価が実施されました。ただし、利用可能な時間の制限により、不要なトラフィック全体のトピックをカバーすることは不可能でした。したがって、いくつかの重要な問題については、表面だけが触れられました。さらに、ワークショップの主な焦点は、現在の状況に関する情報を収集して共有することであったため、特定された問題に対する解決策を導き出そうとする次のステップとして残されています。これは、IAB、IETF、およびIRTF内のアクティビティとして部分的に行われます。

During the workshop, a number of product and company names were cited, which are reflected in the report to a certain extent. However, a mention of any product in this report should not be taken as an endorsement of that product; there may well be alternative, equally relevant or efficacious products in the market place.

ワークショップでは、多くの製品と会社名が引用されましたが、これはある程度レポートに反映されています。ただし、このレポートの製品についての言及は、その製品の承認としてとられるべきではありません。市場には、代替、同様に関連性のある、または効果的な製品がある場合があります。

This report is a summary of the contributions by the workshop participants, and thus it is not an IAB document. The views and positions documented in the report do not necessarily reflect IAB views and positions.

このレポートは、ワークショップ参加者による貢献の概要であるため、IABドキュメントではありません。レポートに記録されている見解と位置は、必ずしもIABのビューとポジションを反映しているわけではありません。

The workshop participant list is attached in Appendix A. The agenda of the workshop can be found in Appendix B. Links to a subset of the presentations are provided in Appendix C; the rest of the presentations are of a sensitive nature, and it has been agreed that they will not be made public. Definitions of the jargon used in describing unwanted traffic can be found in Section 9.

ワークショップ参加者リストは付録Aに添付されています。ワークショップのアジェンダは、付録Bにあります。プレゼンテーションのサブセットへのリンクは、付録Cに記載されています。プレゼンテーションの残りは繊細な性質のものであり、それらが公開されないことに同意しています。不要なトラフィックの説明に使用される専門用語の定義は、セクション9に記載されています。

2. The Root of All Evils: An Underground Economy
2. すべての悪の根源:地下経済

The first important message this workshop would like to bring to the Internet community's attention is the existence of an underground economy. This underground economy provides an enormous amount of monetary fuel that drives the generation of unwanted traffic. This economic incentive feeds on an Internet that is to a large extent wide open. The open nature of the Internet fosters innovations but offers virtually no defense against abuses. It connects to millions of mostly unprotected hosts owned by millions of mostly naive users. These users explore and benefit from the vast opportunities offered by the new cyberspace, with little understanding of its vulnerability to abuse and the potential danger of their computers being compromised. Moreover, the Internet was designed without built-in auditing trails. This was an appropriate choice at the time, but now the lack of traceability makes it difficult to track down malicious activities. Combined with a legal system that is yet to adapt to the new challenge of regulating the cyberspace, this means the Internet, as of today, has no effective deterrent to miscreants. The unfettered design and freedom from regulation have contributed to the extraordinary success of the Internet. At the same time, the combination of these factors has also led to an increasing volume of unwanted traffic. The rest of this section provides a more detailed account of each of the above factors.

このワークショップがインターネットコミュニティの注目を集めたい最初の重要なメッセージは、地下経済の存在です。この地下経済は、不要なトラフィックの生成を促進する膨大な量の通貨燃料を提供します。この経済的インセンティブは、大部分が広く開かれているインターネットを養います。インターネットのオープンな性質は、イノベーションを促進しますが、虐待に対する防御を実質的に提供しません。それは、何百万人もの主に素朴なユーザーが所有する何百万人ものほとんど保護されていないホストに接続します。これらのユーザーは、新しいサイバースペースが提供する膨大な機会を探求し、利益を得ており、虐待に対する脆弱性とコンピューターの潜在的な危険性をほとんど理解していません。さらに、インターネットは、組み込みの監査後のトレイルなしで設計されました。これは当時の適切な選択でしたが、今ではトレーサビリティの欠如により、悪意のあるアクティビティを追跡することが困難になっています。サイバースペースを規制するという新しい課題にまだ適応していない法制度と組み合わせることで、これはインターネットが今日の時点で悪意のある抑止力を持っていないことを意味します。自由な設計と規制からの自由は、インターネットの並外れた成功に貢献しています。同時に、これらの要因の組み合わせにより、不要なトラフィックが増加しています。このセクションの残りの部分は、上記の各要因のより詳細な説明を提供します。

2.1. The Underground Economy
2.1. 地下経済

As in any economic system, the underground economy is regulated by a demand and supply chain. The underground economy, which began as a barter system, has evolved into a giant shopping mall, commonly running on IRC (Internet Relay Chat) servers. The IRC servers provide various online stores selling information about stolen credit cards and bank accounts, malware, bot code, botnets, root accesses to compromised hosts and web servers, and much more. There are DDoS attack stores, credit card stores, PayPal and bank account stores, as well as Cisco and Juniper router stores that sell access to compromised routers. Although not everything can be found on every server, most common tools used to operate in the underground economy can be found on almost all the servers.

他の経済システムと同様に、地下経済は需要とサプライチェーンによって規制されています。物々交換システムとして始まったアンダーグラウンドエコノミーは、一般的にIRC(インターネットリレーチャット)サーバーで実行される巨大なショッピングモールに進化しました。IRCサーバーは、盗まれたクレジットカードと銀行口座、マルウェア、ボットコード、ボットネット、侵害されたホストやWebサーバーへのルートアクセスなどに関する情報を販売するさまざまなオンラインストアを提供します。DDOS攻撃店、クレジットカードストア、PayPalおよび銀行口座の店舗、および侵害されたルーターへのアクセスを販売するCiscoおよびJuniperルーターストアがあります。すべてのサーバーですべてが見つかるわけではありませんが、地下経済で動作するために使用される最も一般的なツールは、ほとんどすべてのサーバーで見つけることができます。

How do miscreants turn attack tools and compromised machines into real assets? In the simplest case, miscreants electronically transfer money from stolen bank accounts directly to an account that they control, often in another country. In a more sophisticated example, miscreants use stolen credit cards or PayPal accounts for online purchases. To hide their trails, they often find remailers who receive the purchased goods and then repackage them to send to the miscreants for a fee. The miscreants may also sell the goods through online merchandising sites such as eBay. They request the payments be made in cashier checks or money orders to be sent to the people who provide money laundering services for the miscreants by receiving the payments and sending them to banks in a different country, again in exchange for a fee. In either case, the destination bank accounts are used only for a short period and are closed as soon as the money is withdrawn by the miscreants.

悪党は攻撃ツールと妥協したマシンを実際の資産にどのように変えますか?最も簡単な場合、悪党は盗まれた銀行口座から、多くの場合他の国で管理する口座に直接電子的に送金します。より洗練された例では、悪党は盗まれたクレジットカードまたはPayPalアカウントをオンラインで購入するために使用します。彼らのトレイルを隠すために、彼らはしばしば購入した商品を受け取っているremailerを見つけ、その後、それらを再パッケージにして料金で悪党に送ることができます。悪党は、eBayなどのオンラインマーチャンダイジングサイトを通じて商品を販売することもできます。彼らは、支払いを受け取って、報酬を受け取って別の国の銀行に送ることにより、報酬のためにマネーロンダリングサービスを提供する人々に送られるために、レジ係の小切手または郵便為替で支払いを要求します。どちらの場合でも、目的地の銀行口座は短期間のみ使用され、お金が悪党によって撤回されるとすぐに閉鎖されます。

The miscreants obtain private and financial information from compromised hosts and install bots (a.k.a. zombies) on them. They can also obtain such information from phishing attacks. Spam messages mislead naive users into accessing spoofed web sites run by the miscreants where their financial information is extracted and collected.

悪党は、侵害されたホストからプライベートおよび財務情報を取得し、ボット(別名ゾンビ)をインストールします。また、フィッシング攻撃からそのような情報を取得することもできます。スパムメッセージは、財務情報が抽出および収集される悪党が実行するスプーフィングされたWebサイトにアクセスするように、ユーザーを誤解させます。

The miscreants in general are not skilled programmers. With money, however, they can hire professional writers to produce well phrased spam messages, and hire coders to develop new viruses, worms, spyware, and botnet control packages, thereby resupplying the underground market with new tools that produce more unwanted traffic on the Internet: spam messages that spread phishing attacks, botnets that are used to launch DDoS attacks, click fraud that "earns" income by deceiving online commercial advertisers, and new viruses and worms that compromise more hosts and steal additional financial information as well as system passwords and personal identity information.

一般的に悪党は熟練したプログラマではありません。しかし、お金を使えば、彼らはプロの作家を雇ってよく表現されたスパムメッセージを作成し、コーダーを雇って新しいウイルス、ワーム、スパイウェア、ボットネット制御パッケージを開発することができ、それにより、インターネット上のより多くの不要なトラフィックを生成する新しいツールを地下市場に補給することができます:フィッシング攻撃を広めるスパムメッセージ、DDOS攻撃の開始に使用されるボットネット、オンラインの商業広告主を欺くことで収入を「獲得」する詐欺をクリックし、より多くのホストを妥協し、追加の財務情報を盗むだけでなく、システムパスワードとシステムのパスワードを盗む新しいウイルスやワーム個人のアイデンティティ情報。

The income gained from the above illegal activities allows miscreants to hire spammers, coders, and IRC server providers. Spammers use botnets. Direct marketing companies set up dirty affiliate programs. Some less than scrupulous banks are also involved to earn transaction fees from moving the dirty money around. In the underground market, everything can be traded, and everything has a value. Thus is spawned unwanted traffic of all kinds.

上記の違法行為から得られた収入により、悪党はスパマー、コーダー、IRCサーバープロバイダーを雇うことができます。スパマーはボットネットを使用します。ダイレクトマーケティング会社は、汚いアフィリエイトプログラムを設定します。汚れたお金を動かして取引手数料を獲得するために、綿密な銀行も関与していません。地下市場では、すべてが取引される可能性があり、すべてに価値があります。したがって、あらゆる種類の不要なトラフィックが生まれます。

The underground economy has evolved very rapidly over the past few years. In the early days of bots and botnets, their activities were largely devoted to DDoS attacks and were relatively easy to detect. As the underground economy has evolved, so have the botnets. They have moved from easily detectable behavior to masquerading as normal user network activity to achieve their goals, making detection very difficult even by vigilant system administrators.

地下経済は、過去数年にわたって非常に急速に進化してきました。ボットとボットネットの初期の頃、それらの活動は主にDDOS攻撃に専念しており、比較的簡単に検出できました。地下経済が進化するにつれて、ボットネットも進化します。彼らは、容易に検出可能な動作から、通常のユーザーネットワークアクティビティになりすまして目標を達成するために移動し、警戒しているシステム管理者によっても検出が非常に困難になりました。

The drive for this rapid evolution comes to a large extent from the change in the intention of miscreant activity. Early virus attacks and botnets were largely anarchic activities. Many were done by "script kiddies" to disrupt systems without a real purpose or to demonstrate the prowess of the attacker, for example in compromising systems that were touted as "secure". Mirroring the commercialization of the Internet and its increasing use for e-business, miscreant activity is now mostly focused on conventional criminal lines. Systems are quietly subverted with the goal of obtaining illicit financial gain in the future, rather than causing visible disruptions as was often the aim of the early hackers.

この急速な進化の意欲は、悪党活動の意図の変化から大部分が来ます。初期のウイルス攻撃とボットネットは、主に無秩序な活動でした。多くは、「Script Kiddies」によって、実際の目的なしでシステムを破壊したり、「安全」と宣伝されている妥協システムの侵害システムなど、攻撃者の腕前を実証するために行われました。インターネットの商業化とeビジネスの増加の使用を反映しているため、悪党活動は現在、従来の刑事ラインに焦点を当てています。システムは、初期のハッカーの目的であったように目に見える混乱を引き起こすのではなく、将来的に違法な経済的利益を得ることを目標に静かに破壊されます。

2.2. Our Enemy Using Our Networks, Our Tools
2.2. ネットワーク、ツールを使用している敵

Internet Relay Chat (IRC) servers are commonly used as the command and control channel for the underground market. These servers are paid for by miscreants and are professionally supported. They are advertised widely to attract potential consumers, and thus are easy to find. The miscreants first talk to each other on the servers to find out who is offering what on the market, then exchange encrypted private messages to settle the deals.

インターネットリレーチャット(IRC)サーバーは、一般的に地下市場のコマンドおよび制御チャネルとして使用されます。これらのサーバーは悪党によって支払われ、専門的にサポートされています。それらは潜在的な消費者を引き付けるために広く宣伝されているため、簡単に見つけることができます。悪党は最初にサーバーで互いに話し合い、誰が市場で何を提供しているのかを調べ、次に暗号化されたプライベートメッセージを交換して取引を解決します。

The miscreants are not afraid of network operators seeing their actions. If their activities are interrupted, they simply move to another venue. When ISPs take actions to protect their customers, revenge attacks are uncommon as long as the miscreants' cash flow is not disturbed. When a botnet is taken out, they move on to the next one, as there is a plentiful supply. However, if an IRC server is taken out that disturbs their cash flow, miscreants can be ruthless and severe attacks may follow. They currently have no fear, as they know the chances of their being caught are minimal.

悪党は、ネットワークオペレーターが自分の行動を見ることを恐れていません。彼らの活動が中断された場合、彼らは単に別の会場に移動します。ISPが顧客を保護するために行動を起こすとき、復ven攻撃は、悪党のキャッシュフローが妨げられない限り、まれです。ボットネットが取り出されると、豊富な供給があるため、次のボットネットに移動します。ただし、IRCサーバーがキャッシュフローを妨害する場合、悪党は冷酷で深刻な攻撃に続く可能性があります。彼らは現在、彼らが捕まえる可能性が最小限であることを知っているので、恐れはありません。

Our enemies make good use of the Internet's global connectivity as well as all the tools the Internet has developed. IRC servers provide a job market for the miscreants and shopping malls of attack tools. Networking research has produced abundant results making it easier to build large scale distributed systems, and these have been adopted by miscreants to build large size, well-controlled botnets. Powerful search engines also enable one to quickly find readily available tools and resources. The sophistication of attacks has increased with time, while the skills required to launch effective attacks have become minimal. Attackers can be hiding anywhere in the Internet while attacks get launched on a global scale.

私たちの敵は、インターネットのグローバルな接続性と、インターネットが開発したすべてのツールをうまく利用しています。IRCサーバーは、攻撃ツールの悪党とショッピングモールの雇用市場を提供します。ネットワーキングの研究により、豊富な結果が生まれ、大規模な分散システムの構築が容易になり、これらは大型の大きさのよく制御されたボットネットを構築するために、悪党によって採用されています。また、強力な検索エンジンは、すぐに利用可能なツールとリソースをすばやく見つけることができます。攻撃の洗練度は時間とともに増加しましたが、効果的な攻撃を開始するために必要なスキルは最小限に抑えられています。攻撃者はインターネット内のどこにでも隠れている可能性がありますが、攻撃は世界規模で発売されます。

2.3. Compromised Systems Being a Major Source of Problems
2.3. 侵害されたシステムは、問題の主要な原因です

The current Internet provides a field ripe for exploitation. The majority of end hosts run vulnerable platforms. People from all walks of life eagerly jump into the newly discovered online world, yet without the proper training needed to understand the full implications. This is at least partially due to most users failing to anticipate how such a great invention can be readily abused. As a result, the Internet has ended up with a huge number of compromised hosts, without their owners being aware that it has happened.

現在のインターネットは、搾取の熟したフィールドを提供します。エンドホストの大部分は、脆弱なプラットフォームを実行しています。あらゆる歩みの人々は、新しく発見されたオンラインの世界に熱心に飛び込みますが、完全な意味を理解するために必要な適切なトレーニングがありません。これは、ほとんどのユーザーがこのような大きな発明を容易に乱用することができることを予測していないため、少なくとも部分的にです。その結果、インターネットは、所有者がそれが起こっていることを認識することなく、膨大な数の妥協したホストになりました。

Unprotected hosts can be compromised in multiple ways. Viruses and worms can get into the system through exploiting bugs in the existing operating systems or applications, sometimes even in anti-virus programs. A phishing site may also take the opportunity to install malware on a victim's computer when a user is lured to the site. More recently, viruses have also started being propagated through popular peer-to-peer file sharing applications. With multiple channels of propagation, malware has become wide-spread, and infected machines include not only home PCs (although they do represent a large percentage), but also corporate servers, and even government firewalls.

保護されていないホストは、複数の方法で妥協することができます。ウイルスやワームは、既存のオペレーティングシステムまたはアプリケーションでバグを活用することにより、時にはウイルス剤プログラムでもシステムに入ることができます。フィッシングサイトは、ユーザーがサイトに誘惑されたときに、被害者のコンピューターにマルウェアをインストールする機会を得ることができます。最近では、ウイルスも人気のあるピアツーピアファイル共有アプリケーションを通じて伝播され始めています。複数の伝播チャネルがあるため、マルウェアは広範囲にわたって広くなり、感染したマシンにはホームPCだけでなく、企業サーバー、さらには政府のファイアウォールも含まれます。

News of new exploits of vulnerabilities of Microsoft Windows platforms is all too frequent, which leads to a common perception that the Microsoft Windows platform is a major source of vulnerability. One of the reasons for the frequent vulnerability exploits of the Windows system is its popularity in the market place; thus, a miscreant's investment in each exploit can gain big returns from infecting millions of machines. As a result, each incident is also likely to make headlines in the news. In reality, all other platforms such as Linux, Solaris, and MAC OS for example, are also vulnerable to compromises. Routers are not exempt from security break-ins either, and using a high-end router as a DoS launchpad can be a lot more effective than using a bundle of home PCs.

Microsoft Windowsプラットフォームの脆弱性の新たな悪用のニュースはあまりにも頻繁であり、Microsoft Windowsプラットフォームが脆弱性の主要なソースであるという一般的な認識につながります。Windowsシステムの頻繁な脆弱性の悪用の理由の1つは、市場での人気です。したがって、各エクスプロイトに対する悪党の投資は、何百万ものマシンに感染することから大きな利益を得ることができます。その結果、各事件はニュースの見出しを作る可能性もあります。実際には、たとえばLinux、Solaris、Mac OSなどの他のすべてのプラットフォームも、妥協に対して脆弱です。ルーターはセキュリティの侵入からも免除されておらず、DOSランチパッドとしてハイエンドルーターを使用することは、ホームPCの束を使用するよりもはるかに効果的です。

Quietly subverting large numbers of hosts and making them part of a botnet, while leaving their normal functionality and connectivity essentially unimpaired, is now a major aim of miscreants and it appears that they are being all too successful. Bots and the functions they perform are often hard to detect and most of the time their existence are not known to system operators or owners (hence, the alternative name for hosts infected with bots controlled by miscreants - zombies); by the time they are detected, it might very well be too late as they have carried out the intended (mal-)function.

多数のホストを静かに破壊し、それらをボットネットの一部にしながら、通常の機能と接続性を本質的に障害のないままにしていることは、今では悪党の主要な目的であり、それらはあまりにも成功しているようです。ボットと彼らが実行する機能はしばしば検出が困難であり、ほとんどの場合、それらの存在はシステムオペレーターまたは所有者には知られていません(したがって、悪党によって制御されたボットに感染したホストの代替名 - ゾンビ);それらが検出されるまでに、意図した(mal-)関数を実行したため、遅すぎる可能性があります。

The existence of a large number of compromised hosts is a particularly challenging problem to the Internet's security. Not only does the stolen financial information lead to enormous economic losses, but also there has been no quick fix to the problem. As noted above, in many cases the owners of the compromised computers are unaware of the problem. Even after being notified, some owners still do not care about fixing the problem as long as their own interest, such as playing online games, is not affected, even though the public interest is endangered --- large botnets can use multi-millions of such compromised hosts to launch DDoS attacks, with each host sending an insignificant amount of traffic but the aggregate exceeding the capacity of the best engineered systems.

多数の侵害されたホストの存在は、インターネットのセキュリティにとって特に挑戦的な問題です。盗まれた財務情報は、大きな経済的損失につながるだけでなく、問題に対する迅速な解決策もありませんでした。上記のように、多くの場合、侵害されたコンピューターの所有者は問題に気付いていません。通知を受けた後でも、一部の所有者は、公共の利益が危険にさらされているにもかかわらず、オンラインゲームをプレイするなどの自分の利益が影響を受けない限り、問題を修正することを気にしません。このような侵害されたホストはDDOS攻撃を開始し、各ホストは取るに足らない量のトラフィックを送信しますが、集計は最高のエンジニアリングシステムの容量を超えています。

2.4. Lack of Meaningful Deterrence
2.4. 意味のある抑止力の欠如

One of the Internet's big strengths is its ability to provide seamless interconnection among an effectively unlimited number of parties. However, the other side of the same coin is that there may not be clear ways to assign responsibilities when something goes wrong. Taking DDoS attacks as an example, an attack is normally launched from a large number of compromised hosts, the attack traffic travels across the Internet backbone to the access network(s) linking to the victims. As one can see, there are a number of independent stake-holders involved, and it is not immediately clear which party should take responsibility for resolving the problem.

インターネットの大きな強みの1つは、事実上無制限の数の関係者の間でシームレスな相互接続を提供できることです。ただし、同じコインの反対側は、何か問題が発生したときに責任を割り当てる明確な方法がないかもしれないということです。DDOS攻撃を例にとると、攻撃は通常、多数の侵害されたホストから発売され、攻撃はインターネットバックボーンを越えて被害者にリンクするアクセスネットワークに移動します。見ることができるように、多くの独立した利害関係者が関与しており、どの当事者が問題を解決する責任を負うべきかはすぐには明らかではありません。

Furthermore, tracking down an attack is an extremely difficult task. The Internet architecture enables any IP host to communicate with any other hosts, and it provides no audit trails. As a result, not only is there no limit to what a host may do, but also there is no trace after the event of what a host may have done. At this time, there is virtually no effective tool available for problem diagnosis or packet trace back. Thus, tracking down an attack is labor intensive and requires sophisticated skills. As will be mentioned in the next section, there is also a lack of incentive to report security attacks. Compounded with the high cost, these factors make forensic tracing of an attack to its root a rare event.

さらに、攻撃を追跡することは非常に難しい作業です。インターネットアーキテクチャにより、IPホストは他のホストと通信することができ、監査証跡は提供されません。その結果、ホストができることに制限がないだけでなく、ホストが何をしたかというイベントの後には痕跡もありません。現時点では、問題の診断やパケットトレースのために利用できる効果的なツールは事実上ありません。したがって、攻撃を追跡することは労働集約的であり、洗練されたスキルが必要です。次のセクションで説明するように、セキュリティ攻撃を報告するインセンティブも不足しています。高コストで悪化したこれらの要因は、そのルートへの攻撃の法医学的追跡により、まれなイベントになります。

In human society, the legal systems provide protection against criminals. However, in the cyberspace, the legal systems are lagging behind in establishing regulations. The laws and regulations aim at penalizing the conduct after the fact. If the likelihood of detection is low, the deterrence would be minimal. Many national jurisdictions have regulations about acts of computer fraud and abuse, and they often carry significant criminal penalties. In the US (and many other places), it is illegal to access government computers without authorization, illegal to damage protected government computers, and illegal to access confidential information on protected computers. However, the definition of "access" can be difficult to ascertain. For example, is sending an ICMP (Internet Control Messaging Protocol) packet to a protected computer considered illegal access? There is a lack of technical understanding among lawmakers that would be needed to specify the laws precisely and provide effective targeting limited to undesirable acts. Computer fraud and liabilities laws provide a forum to address illegal access activities and enable prosecution of cybercriminals. However, one difficulty in prosecuting affiliate programs using bot infrastructure is that they are either borderline legal, or there is little evidence. There is also the mentality of taking legal action only when the measurable monetary damage exceeds a high threshold, while it is often difficult to quantify the monetary damage in individual cases of cyberspace crimes.

人間社会では、法制度は犯罪者に対する保護を提供します。ただし、サイバースペースでは、法制度が規制の確立に遅れをとっています。法律と規制は、事実の後に行為を罰することを目指しています。検出の可能性が低い場合、抑止は最小限になります。多くの国家管轄区域には、コンピューター詐欺と虐待の行為に関する規制があり、しばしば重大な刑事罰を負います。米国(および他の多くの場所)では、許可なしに政府のコンピューターにアクセスし、保護された政府コンピューターを損傷することを違法、保護されたコンピューターの機密情報にアクセスすることは違法です。ただし、「アクセス」の定義を確認するのは難しい場合があります。たとえば、ICMP(インターネット制御メッセージングプロトコル)パケットを保護されたコンピューターに送信して、違法アクセスと見なされますか?法律を正確に指定し、望ましくない行為に限定された効果的なターゲティングを提供するために必要な議員の間では、技術的な理解が不足しています。コンピューター詐欺および負債法は、違法アクセス活動に対処し、サイバー犯罪者の訴追を可能にするフォーラムを提供します。ただし、ボットインフラストラクチャを使用してアフィリエイトプログラムを起訴することの困難の1つは、それらが境界線の合法であるか、証拠がほとんどないことです。また、測定可能な金銭的損傷が高いしきい値を超えた場合にのみ、法的措置を講じることのメンタリティがありますが、サイバースペース犯罪の個々の場合の金銭的損害を定量化することはしばしば困難です。

There is a coalition between countries on collecting cybercriminal evidence across the world, but there is no rigorous way to trace across borders. Laws and rules are mostly local to a country, policies (when they exist) are mostly enacted and enforced locally, while the Internet itself, that carries the unwanted traffic, respects no borders. One estimate suggests that most players in the underground economy are outside the US, yet most IRC servers supporting the underground market may be running in US network providers, enjoying the reliable service and wide connectivity to the rest of the world provided by the networks.

世界中にサイバー犯罪的証拠を収集することについて国との間に連合がありますが、国境を横切る厳しい方法はありません。法律と規則はほとんどが国にとって地元であり、政策(存在する場合)はほとんど制定され、ローカルで実施されていますが、インターネット自体は不要なトラフィックを運ぶことは、国境を尊重しません。ある推定では、地下経済のほとんどのプレーヤーは米国外にいるが、地下市場をサポートするほとんどのIRCサーバーが米国のネットワークプロバイダーで運営されており、信頼できるサービスとネットワークが提供する世界への幅広い接続性を享受している可能性があることを示唆しています。

In addition, the definition of "unwanted" traffic also varies between different countries. For example, China bans certain types of network traffic that are considered legitimate elsewhere. Yet another major difficulty is the trade-off and blurred line between having audit trails to facilitate forensic analysis and to enforce censorship. The greater ability we build into the network to control traffic, the stronger would be the monitoring requirements coming from the legislators.

It should be emphasized that, while a legal system is necessary to create effective deterrence and sanctions against miscreants, it is by no means sufficient on its own. Rather, it must be accompanied by technical solutions to unwanted traffic detection and damage recovery. It is also by no means a substitute for user education. Only a well informed user community can collectively establish an effective defense in the cyberspace.

悪党に対する効果的な抑止と制裁を作成するためには法的システムが必要であるが、決してそれ自体では十分ではないことを強調すべきである。むしろ、不要なトラフィック検出と損傷回収の技術的なソリューションを伴う必要があります。また、ユーザー教育に代わるものではありません。十分な情報に基づいたユーザーコミュニティのみが、サイバースペースで効果的な防御をまとめて確立できます。

2.5. Consequences
2.5. 結果

What we have today is not a rosy picture: there are

今日私たちが持っているのはバラ色の写真ではありません:

o big economic incentives and a rich environment to exploit,

o 大規模な経済的インセンティブと豊かな環境を活用する、

o no specific party to carry responsibility,

o 責任を負う特定の当事者はありません、

o no auditing system to trace back to the sources of attacks, and

o 攻撃のソースに戻る監査システムはありません。

o no well established legal regulations to punish offenders.

o 犯罪者を罰するための十分に確立された法的規制はありません。

The combination of these factors inevitably leads to ever increasing types and volume of unwanted traffic. However, our real threats are not the bots or DDoS attacks, but the criminals behind them. Unwanted traffic is no longer only aiming for maximal disruption; in many cases, it is now a means to illicit ends with the specific purpose of generating financial gains for the miscreants. Their crimes cause huge economic losses, counted in multiple billions of dollars and continuing.

これらの要因の組み合わせは、必然的に、不要なトラフィックのタイプと量が増え続けることにつながります。しかし、私たちの本当の脅威は、ボットやDDOの攻撃ではなく、その背後にある犯罪者です。不要なトラフィックは、もはや最大の混乱を目指しているだけではありません。多くの場合、それは現在、悪党の経済的利益を生み出すという特定の目的で違法に終わる手段です。彼らの犯罪は、数十億ドルでカウントされ、継続されている大きな経済的損失を引き起こします。

3. How Bad Is The Problem?
3. 問題はどれくらい悪いですか?

There are quite a number of different kinds of unwanted traffic on the Internet today; the discussions at this workshop were mainly around DDoS traffic and spam. The impact of DDoS and spam on different parts of the network differs. Below, we summarize the impact on backbone providers, access providers, and enterprise customers, respectively.

今日、インターネット上にはかなり多くの異なる種類の不要なトラフィックがあります。このワークショップでの議論は、主にDDOSトラフィックとスパムに関するものでした。ネットワークのさまざまな部分に対するDDOとスパムの影響は異なります。以下に、バックボーンプロバイダー、アクセスプロバイダー、およびエンタープライズの顧客への影響をそれぞれ要約します。

3.1. Backbone Providers
3.1. バックボーンプロバイダー

Since backbone providers' main line of business is packet forwarding, the impact of unwanted traffic is mainly measured by whether DDoS traffic affects network availability. Spam or malware is not a major concern because backbone networks do not directly support end users. Router compromises may exist, but they are rare events at this time.

バックボーンプロバイダーの主なビジネスラインはパケット転送であるため、不要なトラフィックの影響は主にDDOSトラフィックがネットワークの可用性に影響するかどうかによって測定されます。バックボーンネットワークはエンドユーザーを直接サポートしていないため、スパムやマルウェアは大きな関心事ではありません。ルーターの妥協は存在する可能性がありますが、現時点ではまれなイベントです。

3.1.1. DDoS Traffic
3.1.1. DDOSトラフィック

Observation shows that, in the majority of DDoS attacks, attack traffic can originate from almost anywhere in the Internet. In particular, those regions with high speed user connectivity but poorly managed end hosts are often the originating sites of DDoS attacks. The miscreants tend to find targets that offer maximal returns with minimal efforts.

観察は、DDOの攻撃の大部分で、攻撃トラフィックがインターネットのほぼどこからでも発生する可能性があることを示しています。特に、高速ユーザーの接続性があるが管理されていないエンドホストを備えた地域は、多くの場合、DDOS攻撃の発生部位です。悪党は、最小限の労力で最大のリターンを提供するターゲットを見つける傾向があります。

Backbone networks in general are well-provisioned in regard to traffic capacities. Therefore, core routers and backbone link capacity do not get affected much by most DDoS attacks; a 5Gbps attack could be easily absorbed without causing noticeable impact on the performance of backbone networks. However, DDoS attacks often saturate access networks and make a significant impact on customers. In particular, multihomed customers who have multiple well-provisioned connections for high throughput and performance may suffer from aggregated DDoS traffic coming in from all directions.

一般に、バックボーンネットワークは、交通能力に関して十分に生成されています。したがって、コアルーターとバックボーンリンク容量は、ほとんどのDDOS攻撃によってあまり影響を受けません。5Gbpsの攻撃は、バックボーンネットワークのパフォーマンスに顕著な影響を与えることなく、簡単に吸収される可能性があります。ただし、DDOS攻撃は多くの場合、アクセスネットワークを飽和させ、顧客に大きな影響を与えます。特に、高度なスループットとパフォーマンスのための複数のよくプロビジョニングされた接続を持っているマルチホームの顧客は、あらゆる方向から集計されたDDOSトラフィックに苦しむ可能性があります。

3.1.2. Problem Mitigation
3.1.2. 問題の軽減

Currently, backbone networks do not have effective diagnosis or mitigation tools against DDoS attacks. The foremost problem is a lack of incentives to deploy security solutions. Because IP transit services are a commodity, controlling cost is essential to surviving the competition. Thus, any expenditure tends to require a clearly identified return-on-investment (ROI). Even when new security solutions become available, providers do not necessarily upgrade their infrastructure to deploy the solutions, as security solutions are often prevention mechanisms that may not have an easily quantifiable ROI. To survive in the competitive environment in which they find themselves, backbone providers also try to recruit more customers. Thus, a provider's reputation is important. Due to the large number of attacks and inadequate security solution deployment, effective attacks and security glitches can be expected. However, it is not in a provider's best interest to report all the observed attacks. Instead, the provider's first concern is to minimize the number of publicized security incidents. For example, a "trouble ticket" acknowledging the problem is issued only after a customer complains. An informal estimate suggested that only about 10% of DDoS attacks are actually reported (some other estimates have put the figure as low as 2%). In short, there is a lack of incentives to either report problems or deploy solutions.

現在、バックボーンネットワークには、DDOS攻撃に対する効果的な診断や緩和ツールがありません。最も重要な問題は、セキュリティソリューションを展開するインセンティブの欠如です。IPトランジットサービスは商品であるため、競争を乗り切るにはコストを制御することが不可欠です。したがって、支出には、明確に特定された投資収益率(ROI)が必要になる傾向があります。新しいセキュリティソリューションが利用可能になった場合でも、プロバイダーは必ずしもインフラストラクチャをアップグレードしてソリューションを展開するわけではありません。セキュリティソリューションは、簡単に定量化できるROIを持たない可能性のある予防メカニズムであるためです。バックボーンプロバイダーは、彼らが自分自身を見つける競争環境で生き残るために、より多くの顧客を募集しようとします。したがって、プロバイダーの評判は重要です。多数の攻撃と不十分なセキュリティソリューションの展開により、効果的な攻撃とセキュリティの不具合が予想されます。ただし、観察されたすべての攻撃を報告することは、プロバイダーの最大の利益ではありません。代わりに、プロバイダーの最初の懸念は、公表されたセキュリティインシデントの数を最小限に抑えることです。たとえば、問題を認める「トラブルチケット」は、顧客が文句を言う後にのみ発行されます。非公式の推定では、DDOS攻撃の約10%のみが実際に報告されていることが示唆されました(他の推定では、数値を2%という低いものにしています)。要するに、問題を報告するか、ソリューションを展開するインセンティブが不足しています。

Partly as a consequence of the lack of incentive and lack of funding, there exist few DDoS mitigation tools for backbone providers. Network operators often work on their own time to fight the battle against malicious attacks. Their primary mitigation tools today are Access Control Lists (ACL) and BGP (Border Gateway Protocol) null routes to black-hole unwanted traffic. These tools can be turned on locally and do not require coordination across administrative domains. When done at, or near, DDoS victims, these simple tools can have an immediate effect in reducing the DDoS traffic volume.

一部には、インセンティブの欠如と資金の不足の結果として、バックボーンプロバイダー向けのDDOS緩和ツールはほとんど存在しません。ネットワークオペレーターは、悪意のある攻撃との戦いと戦うために、自分の時間に作業することがよくあります。今日の主要な緩和ツールは、アクセス制御リスト(ACL)およびBGP(Border Gateway Protocol)nullルートがブラックホール不要なトラフィックへのルートです。これらのツールはローカルでオンにすることができ、管理ドメイン全体で調整を必要としません。DDOSの犠牲者または近くで行われると、これらの簡単なツールは、DDOSの交通量を減らすのに即座に効果をもたらすことができます。

However, these tools are rather rudimentary and inadequate, as we will elaborate in Section 4.2.1.

ただし、セクション4.2.1で詳しく説明するため、これらのツールはかなり初歩的で不十分です。

3.2. Access Providers
3.2. アクセスプロバイダー

A common issue that access providers share with backbone providers is the lack of incentive and the shortage of funding needed to deploy security solutions. As with the situation with security incidents on the backbone, the number of security incidents reported by access providers is estimated to be significantly lower than the number of the actual incidents that occurred.

アクセスプロバイダーがバックボーンプロバイダーと共有する一般的な問題は、インセンティブの欠如とセキュリティソリューションの展開に必要な資金不足です。バックボーンのセキュリティインシデントがある状況と同様に、アクセスプロバイダーが報告するセキュリティインシデントの数は、発生した実際のインシデントの数よりも大幅に低いと推定されています。

Because access providers are directly connected to end customers, they also face unique problems of their own. From the access providers' viewpoint, the most severe impact of unwanted traffic is not the bandwidth exhaustion, but the customer support load it engenders. The primary impact of unwanted traffic is on end users, and access providers must respond to incident reports from their customers. Today, access providers are playing the role of IT help desk for many of their customers, especially residential users. According to some access providers, during the Microsoft Blaster worm attack, the average time taken to handle a customer call was over an hour. Due to the high cost of staffing the help desks, it is believed that, if a customer calls the help desk just once, the provider would lose the profit they would otherwise have otherwise made over the lifetime of that customer account.

アクセスプロバイダーはエンド顧客に直接接続されているため、独自の問題にも直面しています。アクセスプロバイダーの視点から、望ましくないトラフィックの最も深刻な影響は帯域幅の疲労ではなく、カスタマーサポートの負荷が発生することです。不要なトラフィックの主な影響はエンドユーザーにあり、アクセスプロバイダーは顧客からのインシデントレポートに対応する必要があります。今日、アクセスプロバイダーは、多くの顧客、特に住宅ユーザーのためにITヘルプデスクの役割を果たしています。一部のアクセスプロバイダーによると、Microsoft Blaster Worm攻撃中、顧客の呼び出しを処理するのにかかる平均時間は1時間以上でした。ヘルプデスクの人員配置のコストが高いため、顧客が一度だけヘルプデスクに電話をかけると、プロバイダーがそうでなければ、その顧客アカウントの生涯にわたって得た利益を失うと考えられています。

To reduce the high customer service cost caused by security breaches, most access providers offer free security software to their customers. It is much cheaper to give the customer "free" security software in the hope of preventing system compromises than handling the system break-ins after the event. However, perhaps due to their lack of understanding of the possible security problems they may face, many customers fail to install security software despite the free offer from their access providers, or even when they do, they may lack the skill needed to configure a complex system correctly.

セキュリティ侵害によって引き起こされる高い顧客サービスコストを削減するために、ほとんどのアクセスプロバイダーは顧客に無料のセキュリティソフトウェアを提供します。イベント後にシステムの侵入を処理するよりもシステムの妥協を防ぐために、顧客に「無料」のセキュリティソフトウェアを提供する方がはるかに安価です。しかし、おそらく彼らが直面する可能性のあるセキュリティの問題を理解していないため、多くの顧客はアクセスプロバイダーからの無料オファーにもかかわらず、またはそうする場合でも、複合施設を構成するために必要なスキルが不足している可能性があります。システムを正しく。

What factors may influence how quickly customers get the security breaches fixed? Past experience suggests the following observations:

顧客がセキュリティ侵害を固定する速さに影響を与える要因は何ですか?過去の経験は、次の観察結果を示唆しています。

o Notification has little impact on end user repair behavior.

o 通知は、エンドユーザーの修復行動にほとんど影響を与えません。

o There is no significant difference in terms of repair behavior between different industries or between business and home users.

o さまざまな業界間、またはビジネスユーザーとホームユーザーの間で修理行動に関して有意な違いはありません。

o Users' patching behavior follows an exponential decay pattern with a time constant of approximately 40% per month. Thus, about 40% of computers tend to be patched very quickly when a patch is released, and approximately 40% of the remaining vulnerable computers in each following month will show signs of being patched. This leaves a few percent still unpatched after 6 months. In the very large population of Internet hosts, this results in a significant number of hosts that will be vulnerable for the rest of their life.

o ユーザーのパッチング動作は、月額約40%の時定数で指数関数的な減衰パターンに従います。したがって、パッチがリリースされると、コンピューターの約40%が非常に迅速にパッチを適用する傾向があり、翌月の残りの脆弱なコンピューターの約40%がパッチの兆候を示します。これにより、6か月後には数パーセントがまだ表示されません。インターネットホストの非常に多くの人口では、これにより、残りの人生で脆弱になるかなりの数のホストが生まれます。

o There is a general lack of user understanding: after being compromised, unmanaged computers may get replaced rather than repaired, and this often results in infections occurring during the installation process on the replacement.

o ユーザーの理解には一般的な欠如があります。妥協された後、無管理されていないコンピューターが修復されるのではなく交換される可能性があり、これにより、交換の設置プロセス中に感染が発生することがよくあります。

3.3. Enterprise Networks: Perspective from a Large Enterprise
3.3. エンタープライズネットワーク:大企業からの視点

The operators of one big enterprise network reported their experience regarding unwanted traffic to the workshop. Enterprises perceive many forms of bad traffic including worms, malware, spam, spyware, Instant Messaging (IM), peer-to-peer (P2P) traffic, and DoS. Compared to backbone and access providers, enterprise network operators are more willing to investigate security breaches, although they may hesitate to pay a high price for security solutions. False positives are very costly. Most operators prefer false negatives to false positives. In general, enterprises prefer prevention solutions to detection solutions.

1つのBig Enterprise Networkのオペレーターは、ワークショップへの不要なトラフィックに関する経験を報告しました。企業は、ワーム、マルウェア、スパム、スパイウェア、インスタントメッセージング(IM)、ピアツーピア(P2P)トラフィック、DOSなど、多くの形式の悪いトラフィックを認識しています。バックボーンおよびアクセスプロバイダーと比較して、エンタープライズネットワークオペレーターはセキュリティ侵害を調査する意思がありますが、セキュリティソリューションに高い価格を支払うことをためらうことができます。誤検知は非常に費用がかかります。ほとんどのオペレーターは、偽の陽性よりも偽のネガを好みます。一般に、企業は検出ソリューションよりも予防ソリューションを好みます。

Deliberately created unwanted traffic (as opposed to unwanted traffic that might arise from misconfiguration) in enterprise networks can be sorted into three categories. The first is "Nuisance", which includes unwanted traffic such as spam and peer-to-peer file sharing. Although there were different opinions among the workshop participants as to whether P2P traffic should, or should not, be considered as unwanted traffic, enterprise network operators are concerned not only that P2P traffic represents a significant share of the total network load, but they are also sensitive to potential copyright infringement issues that might lead to significant financial and legal impacts on the company as a whole. In addition, P2P file sharing applications have also became a popular channel for malware propagation.

エンタープライズネットワークで意図的に作成された不要なトラフィック(ミス構成から生じる可能性のある不要なトラフィックとは対照的に)は、3つのカテゴリに分類できます。1つ目は「迷惑」です。これには、スパムやピアツーピアのファイル共有などの不要なトラフィックが含まれます。P2Pトラフィックが不要なトラフィックと見なされるかどうかについては、ワークショップの参加者の間では、エンタープライズネットワークオペレーターがネットワーク負荷全体の大部分を占めるだけでなく、彼らも懸念しているだけでなく、潜在的な著作権侵害の問題に敏感で、会社全体に大きな財政的および法的影響を与える可能性があります。さらに、P2Pファイル共有アプリケーションは、マルウェアの伝播に人気のあるチャネルにもなりました。

The second category of unwanted traffic is labeled "Malicious", which includes the traffic that spreads malware. This class of traffic can be small in volume but the cost from the resulting damage can be high. The clean up after an incident also requires highly skilled operators.

不要なトラフィックの2番目のカテゴリには、マルウェアを拡散するトラフィックを含む「悪意」とラベル付けされています。このクラスのトラフィックのボリュームは少ない場合がありますが、結果として生じる損傷によるコストは高くなる可能性があります。事件後のクリーンアップには、高度な熟練したオペレーターも必要です。

The third category of unwanted traffic is "Unknown": it is known that there exists a class of traffic in the network that can be best described in this way, as no one knows its purpose or the locations of the sources. Malicious traffic can be obscured by encryption, encapsulation, or covered up as legitimate traffic. The existing detection tools are ineffective for this type of traffic. Noisy worms are easy to identify, but stealth worms can open a backdoor on hosts and stay dormant for a long time without causing any noticeable detrimental effect. This type of bad traffic has the potential to make the greatest impact on an enterprise from a threat perspective.

不要なトラフィックの3番目のカテゴリは「不明」です。ネットワークには、この方法で最もよく説明できるトラフィックのクラスが存在することが知られています。悪意のあるトラフィックは、暗号化、カプセル化、または合法的なトラフィックとしてカバーされることで不明瞭になる可能性があります。既存の検出ツールは、このタイプのトラフィックに対して効果がありません。騒々しいワームは簡単に識別できますが、ステルスワームはホストにバックドアを開け、顕著な有害な効果をもたらすことなく長い間休眠状態を保つことができます。このタイプの悪いトラフィックは、脅威の観点から企業に最大の影響を与える可能性があります。

There are more mitigation tools available for enterprise networks than for backbone and access network providers; one explanation might be the greater affordability of solutions for enterprise networks. The costs of damage from a security breach can also have a very significant impact on the profits of an enterprise. At the same time, however, the workshop participants also expressed concerns regarding the ongoing arms race between security exploits and patching solutions. Up to now, security efforts have, by and large, been reactive, creating a chain of security exploits and a consequent stream of "fixes". Such a reactive mode has not only created a big security market, but also does not enable us to get ahead of attackers.

バックボーンおよびアクセスネットワークプロバイダーよりも、エンタープライズネットワークのために利用可能な緩和ツールがあります。1つの説明は、エンタープライズネットワークのソリューションの手頃な価格である可能性があります。セキュリティ侵害による損害のコストは、企業の利益に非常に大きな影響を与える可能性もあります。しかし、同時に、ワークショップの参加者は、セキュリティエクスプロイトとパッチングソリューションの間の進行中の武器競争に関する懸念も表明しました。これまで、セキュリティの取り組みは、概して反応的であり、セキュリティのエクスプロイトの連鎖とその結果としての「修正」のストリームを作成してきました。このようなリアクティブモードは、大きなセキュリティ市場を作成しただけでなく、攻撃者を先取りすることもできません。

3.4. Domain Name Services
3.4. ドメイン名サービス

Different from backbone and access providers, there also exists a class of Internet service infrastructure providers. Provision of Domain Name System (DNS) services offers an example here. As reported by operators from a major DNS hosting company, over time there have been increasingly significant DDoS attacks on .com, .net and root servers.

バックボーンとアクセスプロバイダーとは異なり、インターネットサービスインフラストラクチャプロバイダーのクラスも存在します。ドメイン名システム(DNS)サービスの提供は、ここで例を示しています。主要なDNSホスティング会社のオペレーターが報告したように、時間の経過とともに.com、.NET、およびルートサーバーに対するDDOS攻撃がますます重要になっています。

DNS service operators have witnessed large scale DDoS attacks. The most recent ones include reflection attacks resulting from queries using spoofed source addresses. The major damage caused by these attacks are bandwidth and resource exhaustion, which led to disruption of critical services. The peak rate of daily DNS transactions has been growing at a much faster rate than the number of Internet users, and this trend is expected to continue. The heavy load on the DNS servers has led to increasing complexity in providing the services.

DNSサービスオペレーターは、大規模なDDOS攻撃を目撃しています。最新のものには、スプーフィングされたソースアドレスを使用したクエリに起因する反射攻撃が含まれます。これらの攻撃によって引き起こされる大きな損害は、帯域幅とリソースの疲労であり、重要なサービスの混乱につながりました。毎日のDNSトランザクションのピークレートは、インターネットユーザーの数よりもはるかに速いレートで成長しており、この傾向は続くと予想されています。DNSサーバーの重い負荷により、サービスの提供が複雑になりました。

In addition to intentional DDoS Attacks, some other causes of the heavy DNS load included (1) well known bugs in a small number of DNS servers that still run an old version of the BIND software, causing significant load increase at top level servers; and (2) inappropriately configured firewalls that allow DNS queries to come out but block returning DNS replies, resulting in big adverse impacts on the overall system. Most of such issues have been addressed in the DNS operational guidelines drafted by the IETF DNS Operations Working Group; however, many DNS operators have not taken appropriate actions.

意図的なDDOS攻撃に加えて、BINDソフトウェアの古いバージョンを実行している少数のDNSサーバーの(1)よく知られているバグが含まれており、トップレベルサーバーで大幅な負荷増加を引き起こすことが含まれます。(2)DNSクエリが出てくるがDNSの返信をブロックすることを可能にする不適切に構成されたファイアウォールを構成し、システム全体に大きな悪影響を与えます。このような問題のほとんどは、IETF DNSオペレーションワーキンググループによって起草されたDNS運用ガイドラインで対処されています。ただし、多くのDNSオペレーターは適切な措置を講じていません。

At this time, the only effective and viable mitigation approach is over-engineering the DNS service infrastructure by increasing link bandwidth, the number of servers, and the server processing power, as well as deploying network anycast. There is a concern about whether the safety margin gained from over-engineering is, or is not, adequate in sustaining DNS services over future attacks. Looking forward, there are also a few new issues looming. Two imminent ones are the expected widespread deployment of IPv6 whose new DNS software would inevitably contain new bugs, and the DNS Security Extensions (DNSSEC), which could potentially be abused to generate DDoS attacks.

現時点では、唯一の効果的で実行可能な緩和アプローチは、リンク帯域幅、サーバーの数、サーバー処理能力を増やし、ネットワークのaycastを展開することにより、DNSサービスインフラストラクチャの過剰エンジニアリングです。過剰なエンジニアリングから得られた安全マージンが、将来の攻撃にわたってDNSサービスを維持するのに適切であるかどうか、またはそうでないかどうかについて懸念があります。楽しみにして、いくつかの新しい問題が迫っています。2つの差し迫ったものは、新しいDNSソフトウェアが必然的に新しいバグを含むIPv6の予想される広範な展開と、DDOS攻撃を生成するために潜在的に乱用される可能性のあるDNSセキュリティ拡張機能(DNSSEC)を含むことです。

4. Current Vulnerabilities and Existing Solutions
4. 現在の脆弱性と既存のソリューション

This section summarizes three aspects of the workshop discussions. We first collected the major vulnerabilities mentioned in the workshop, then made a summary of the existing solutions, and followed up with an examination of the effectiveness, or lack of it, of the existing solutions.

このセクションでは、ワークショップディスカッションの3つの側面をまとめます。最初にワークショップで言及された主要な脆弱性を収集し、次に既存のソリューションの要約を作成し、既存のソリューションの有効性またはそれの欠如の調査をフォローアップしました。

4.1. Internet Vulnerabilities
4.1. インターネットの脆弱性

Below is a list of known Internet vulnerabilities and issues around unwanted traffic.

以下は、既知のインターネットの脆弱性と不要なトラフィックに関する問題のリストです。

o Packet source address spoofing: there has been speculation that attacks using spoofed source addresses are decreasing, due to the proliferation of botnets, which can be used to launch various attacks without using spoofed source addresses. It is certainly true that not all the attacks use spoofed addresses; however, many attacks, especially reflection attacks, do use spoofed source addresses.

o パケットソースアドレススプーフィング:スプーフィングされたソースアドレスを使用して、スプーフィングされたソースアドレスを使用せずにさまざまな攻撃を開始するために使用できるボットネットの急増により、スプーフィングされたソースアドレスを使用した攻撃が減少しているという推測がありました。すべての攻撃がスプーフィングされたアドレスを使用しているわけではないことは確かです。ただし、多くの攻撃、特に反射攻撃は、スプーフィングされたソースアドレスを使用します。

o BGP route hijacking: in a survey conducted by Arbor Networks, route hijacking together with source address spoofing are listed as the two most critical vulnerabilities on the Internet. It has been observed that miscreants hijack bogon prefixes for spam message injections. Such hijacks do not affect normal packet delivery and thus have a low chance of being noticed.

o BGPルートハイジャック:アーバーネットワークが実施した調査では、ルートハイジャックとソースアドレスのスプーフィングが、インターネット上で最も重要な2つの脆弱性としてリストされています。悪党がスパムメッセージインジェクションのためにボゴンのプレフィックスをハイジャックすることが観察されています。このようなハイジャックは、通常のパケット配信に影響を与えないため、注目される可能性が低くなります。

o Everything over HTTP: port scan attacks occur frequently in today's Internet, looking for open TCP or UDP ports through which to gain access to computers. The reaction from computer system management has been to close down all the unused ports, especially in firewalls. One result of this reaction is that application designers have moved to transporting all data communications over HTTP to avoid firewall traversal issues. Transporting "everything over HTTP" does not block attacks but has simply moved the vulnerability from one place to another.

o HTTP:ポートスキャン攻撃のすべてが今日のインターネットで頻繁に発生し、コンピューターにアクセスするためのオープンTCPまたはUDPポートを探しています。コンピューターシステム管理からの反応は、特にファイアウォールで、未使用のすべてのポートを閉鎖することでした。この反応の結果の1つは、アプリケーション設計者がHTTPを介してすべてのデータ通信を輸送することに移行して、ファイアウォールの横方向の問題を回避することです。「すべてのHTTPを介してすべて」を輸送することは、攻撃をブロックするのではなく、ある場所から別の場所に脆弱性を単純に動かしています。

o Everyone comes from Everywhere: in the earlier life of the Internet it had been possible to get some indication of the authenticity of traffic from a specific sender based for example on the Time To Live (TTL). The TTL would stay almost constant when traffic from a certain sender to a specific host entered an operators network, since the sender will "always" set the TTL to the same value. If a change in the TTL value occurred without an accompanying change in the routing, one could draw the conclusion that this was potential unwanted traffic. However, since hosts have become mobile, they may be roaming within an operator's network and the resulting path changes may put more (or less) hops between the source and the destination. Thus, it is no longer possible to interpret a change in the TTL value, even if it occurs without any corresponding change in routing, as an indication that the traffic has been subverted.

o 誰もがどこからでも来ています。インターネットの初期の生活では、たとえばLive(TTL)に基づいて特定の送信者からトラフィックの信頼性を示すことができていました。送信者が「常に」TTLを同じ値に設定するため、特定の送信者から特定のホストへのトラフィックがオペレーターネットワークに入った場合、TTLはほぼ一定のままです。TTL値の変更がルーティングに付随する変更なしに発生した場合、これは潜在的な不要なトラフィックであるという結論を引き出すことができます。ただし、ホストはモバイルになっているため、オペレーターのネットワーク内でローミングしている可能性があり、結果のパスの変更により、ソースと宛先の間に(またはそれ以下)ホップが多い場合があります。したがって、トラフィックが破壊されたことを示すために、それが対応するルーティングの変化なしに発生したとしても、TTL値の変化を解釈することはもはや不可能です。

o Complex Network Authentication: Network authentication as it is used today is far too complex to be feasible for users to use effectively. It will also be difficult to make it work with new wireless access technologies.

o 複雑なネットワーク認証:今日使用されているネットワーク認証は、ユーザーが効果的に使用することができないほど複雑すぎます。また、新しいワイヤレスアクセステクノロジーで動作させることも困難です。

A possible scenario envisages a customers handset that is initially on a corporate wireless network. If that customer steps out of the corporate building, the handset may get connected to the corporate network through a GPRS network. The handset may then roam to a wireless LAN network when the user enters a public area with a hotspot. Consequently, we need authentication tools for cases when the underlying data link layer technology changes quickly, possibly during a single application session.

考えられるシナリオでは、最初は企業のワイヤレスネットワーク上にある顧客の携帯電話を想定しています。その顧客が企業の建物から出た場合、携帯電話はGPRSネットワークを介して企業ネットワークに接続される可能性があります。その後、ユーザーがホットスポットのあるパブリックエリアに入ると、携帯電話はワイヤレスLANネットワークにローミングできます。その結果、おそらく単一のアプリケーションセッション中に、基礎となるデータリンクレイヤーテクノロジーが迅速に変化する場合の場合の認証ツールが必要です。

o Unused Security Tools: Vendors and standards have produced quite a number of useful security tools; however, not all, or even most, of them get used extensively.

o 未使用のセキュリティツール:ベンダーと標準は、かなり多くの有用なセキュリティツールを作成しています。ただし、それらのすべて、またはほとんどさえも広範囲に使用されるわけではありません。

4.2. Existing Solutions
4.2. 既存のソリューション
4.2.1. Existing Solutions for Backbone Providers
4.2.1. バックボーンプロバイダー向けの既存のソリューション

Several engineering solutions exist that operators can deploy to defend the network against unwanted traffic. Adequate provisioning is one commonly used approach that can diminish the impact of DDoS on the Internet backbone. The solution that received most mentions at the workshop was BCP 38 on ingress filtering: universal deployment of BCP 38 can effectively block DDoS attacks using spoofed source IP addresses. At present, Access Control List (ACL) and BGP null routing are the two tools most commonly used by network operators to mitigate DDoS attacks. They are effective in blocking DDoS attacks, especially when being applied at or near a victim's site.

オペレーターが展開して不要なトラフィックからネットワークを守ることができるいくつかのエンジニアリングソリューションが存在します。適切なプロビジョニングは、インターネットバックボーンに対するDDOの影響を減らすことができる一般的に使用されるアプローチの1つです。ワークショップでほとんどの言及を受けたソリューションは、イングレスフィルタリングに関するBCP 38でした。BCP38のユニバーサル展開は、スプーフィングされたソースIPアドレスを使用してDDOS攻撃を効果的にブロックできます。現在、アクセス制御リスト(ACL)とBGPヌルルーティングは、DDOS攻撃を緩和するためにネットワーク演算子が最も一般的に使用する2つのツールです。特に被害者のサイトまたはその近くで適用される場合、DDOS攻撃をブロックするのに効果的です。

Unfortunately, BCP 38 is not widely deployed today. BCP 38 may require device upgrades, and is considered tedious to configure and maintain. Although widespread deployment of BCP 38 could benefit the Internet as a whole, deployment by individual sites imposes a certain amount of cost to the site, and does not provide a direct and tangible benefit in return. In other words, BCP 38 suffers from a lack of deployment incentives.

残念ながら、BCP 38は今日広く展開されていません。BCP 38はデバイスのアップグレードを必要とする場合があり、構成と保守が退屈であると考えられています。BCP 38の広範な展開はインターネット全体に利益をもたらす可能性がありますが、個々のサイトによる展開はサイトに一定のコストを課し、見返りに直接的で具体的な利益を提供しません。言い換えれば、BCP 38は展開インセンティブの欠如に苦しんでいます。

Both BGP null routing and ACL have the drawback of relying on manual configuration and thus are labor intensive. In addition, they also suffer from blocking both attack and legitimate packets. There is also a potential that some tools could back-fire, e.g., an overly long ACL list might significantly slow down packet forwarding in a router.

BGPヌルルーティングとACLの両方に、手動構成に依存するという欠点があるため、労働集約的です。さらに、彼らはまた、攻撃と合法的なパケットの両方をブロックすることに苦しんでいます。また、一部のツールがバックファイアをする可能性もあります。たとえば、非常に長いACLリストがルーターでのパケットの転送を大幅に遅くする可能性があります。

Unicast Reverse Path Filtering (uRPF), which is available on some routers, provides a means of implementing a restricted form of BCP 38 ingress filtering without the effort of maintaining ACLs. uRPF uses the routing table to check that a valid path back to the source exists. However, its effectiveness depends on the specificity of the routes against which source addresses are compared. The prevalence of asymmetric routing means that the strict uRPF test (where the route to the source must leave from the same interface on which the packet being tested arrived) may have to be replaced by the loose uRPF test (where the route may leave from any interface). The loose uRPF test is not a guarantee against all cases of address spoofing, and it may still be necessary to maintain an ACL to deal with exceptions.

一部のルーターで利用可能なユニキャストリバースパスフィルタリング(URPF)は、ACLを維持することなくBCP 38イングレスフィルタリングの制限された形式を実装する手段を提供します。URPFはルーティングテーブルを使用して、ソースに戻る有効なパスが存在することを確認します。ただし、その有効性は、ソースアドレスが比較されるルートの特異性に依存します。非対称ルーティングの有病率は、厳密なURPFテスト(ソースへのルートがテストされているパケットが到着したのと同じインターフェイスから離れる必要がある)を、ルーズURPFテスト(ルートが任意のルートから離れることができる場合に置き換える必要があることを意味します。インターフェース)。緩いURPFテストは、アドレススプーフィングのすべての場合に対する保証ではなく、例外に対処するためにACLを維持する必要がある場合があります。

4.2.2. Existing Solutions for Enterprise Networks
4.2.2. エンタープライズネットワーク向けの既存のソリューション

A wide variety of commercial products is available for enterprise network protection. Three popular types of protection mechanisms are

エンタープライズネットワーク保護には、さまざまな商用製品が利用できます。3つの一般的なタイプの保護メカニズムがあります

o Firewalls: firewalls are perhaps the most widely deployed protection products. However, the effectiveness of firewalls in protecting enterprise confidential information can be weakened by spyware installed internally, and they are ineffective against attacks carried out from inside the perimeter established by the firewalls. Too often, spyware installation is a byproduct of installing other applications permitted by end users.

o ファイアウォール:ファイアウォールは、おそらく最も広く展開されている保護製品です。ただし、企業の機密情報を保護する上でのファイアウォールの有効性は、内部にインストールされたスパイウェアによって弱体化する可能性があり、ファイアウォールによって確立された境界内から実行される攻撃に対して効果がありません。多くの場合、スパイウェアのインストールは、エンドユーザーが許可する他のアプリケーションをインストールする副産物です。

o Application level gateways: these are becoming more widely used. However, because they require application-specific support, and in many cases they cache all the in-flight documents, configuration can be difficult and the costs high. Thus, enterprise network operators prefer network level protections over layer-7 solutions.

o アプリケーションレベルのゲートウェイ:これらはより広く使用されています。ただし、アプリケーション固有のサポートが必要であり、多くの場合、すべての飛行中のドキュメントをキャッシュするため、構成は難しく、コストが高くなる可能性があります。したがって、エンタープライズネットワークオペレーターは、レイヤー-7ソリューションよりもネットワークレベルの保護を好みます。

o Anti-spam software: Anti-spam measures consume significant human resources. Current spam mitigation tools include blacklists and content filters. The more recent "learning" filters may help significantly reduce the human effort needed and decrease the number of both false positives and negatives.

o スパムアンチスパムソフトウェア:スパム対策対策は、かなりの人材を消費します。現在のスパム緩和ツールには、ブラックリストとコンテンツフィルターが含まれます。最近の「学習」フィルターは、必要な人間の努力を大幅に削減し、偽陽性とネガの両方の数を減らすのに役立つ可能性があります。

A more recent development is computer admission control, where a computer is granted network access if and only if it belongs to a valid user and appears to have the most recent set of security patches installed. It is however a more expensive solution. A major remaining issue facing enterprise network operators is how to solve the user vulnerability problem and reduce reliance on user's understanding of the need for security maintenance.

最近の開発は、コンピューター入場制御です。これは、有効なユーザーに属し、最新のセキュリティパッチセットがインストールされているように見える場合にのみ、コンピューターにネットワークアクセスが付与されます。ただし、より高価なソリューションです。エンタープライズネットワークオペレーターが直面している主要な問題は、ユーザーの脆弱性の問題を解決し、セキュリティメンテナンスの必要性に対するユーザーの理解に依存する方法です。

4.3. Shortfalls in the Existing Network Protection
4.3. 既存のネットワーク保護の不足
4.3.1. Inadequate Tools
4.3.1. 不十分なツール

Generally speaking, network and service operators do not have adequate tools for network problem diagnosis. The current approaches largely rely on the experience and skills of the operators, and on time-consuming manual operations. The same is true for mitigation tools against attacks.

一般的に、ネットワークおよびサービスオペレーターには、ネットワークの問題診断に適したツールがありません。現在のアプローチは、オペレーターの経験とスキル、および時間のかかる手動操作に大きく依存しています。攻撃に対する緩和ツールにも同じことが言えます。

4.3.2. Inadequate Deployments
4.3.2. 不十分な展開

The limited number of existing Internet protection measures have not been widely deployed. Deployment of security solutions requires resources which may not be available. It also requires education among the operational community to recognize the critical importance of patch installation and software upgrades; for example, a bug in the BIND packet was discovered and fixed in 2003, yet a number of DNS servers still run the old software today. Perhaps most importantly, a security solution must be designed with the right incentives to promote their deployment. Effective protection also requires coordination between competing network providers. For the time being, it is often difficult to even find the contact information for operators of other networks.

限られた数の既存のインターネット保護対策は広く展開されていません。セキュリティソリューションの展開には、利用できないリソースが必要です。また、パッチのインストールとソフトウェアのアップグレードの重要な重要性を認識するために、運用コミュニティ間の教育が必要です。たとえば、2003年にBindパケットのバグが発見され、修正されましたが、現在も多くのDNSサーバーが古いソフトウェアを実行しています。おそらく最も重要なことは、展開を促進するために適切なインセンティブを使用してセキュリティソリューションを設計する必要があることです。効果的な保護には、競合するネットワークプロバイダー間の調整も必要です。とりあえず、他のネットワークのオペレーターの連絡先情報を見つけることさえ難しいことがよくあります。

A number of workshop participants shared the view that, if all the known engineering approaches and bug fixes were universally deployed, the Internet could have been enjoying a substantially reduced number of security problems today. In particular, the need for, and lack of, BCP 38 deployment was mentioned numerous times during the workshop. There is also a lack of enthusiasm about the routing security requirements document being developed by the IETF RPSEC (Routing Protocol Security) Working Group, which focuses heavily on cryptographically-based protection requirements. Not only would cryptographically-based solutions face the obstacle of funding for deployment, but also they are likely to bring with them their own set of problems.

多くのワークショップ参加者は、既知のエンジニアリングアプローチとバグ修正がすべて普遍的に展開された場合、インターネットは今日大幅に減少したセキュリティ問題を享受している可能性があるという見解を共有しました。特に、BCP 38の展開の必要性と不足は、ワークショップ中に何度も言及されました。また、IETF RPSEC(ルーティングプロトコルセキュリティ)ワーキンググループによって開発されているルーティングセキュリティ要件文書に関する熱意の欠如もあります。これは、暗号化に基づいた保護要件に重点を置いています。暗号化に基づいたソリューションは、展開のための資金調達の障害に直面するだけでなく、独自の問題をもたらす可能性があります。

4.3.3. Inadequate Education
4.3.3. 不十分な教育

There exists an educational challenge to disseminate the knowledge needed for secure Internet usage and operations. Easily guessed passwords and plaintext password transmission are still common in many parts of the Internet. One common rumor claims that Cisco routers were shipped with a default password "cisco" and this was used by attackers to break into routers. In reality, operators often configure Cisco routers with that password, perhaps because of the difficulty of disseminating passwords to multiple maintainers. A similar problem exists for Juniper routers and other vendors' products.

安全なインターネットの使用と運用に必要な知識を広めるための教育的課題が存在します。簡単に推測されるパスワードとPlantextパスワードの伝達は、インターネットの多くの部分で依然として一般的です。1つの一般的な噂によると、Ciscoルーターにはデフォルトのパスワード「Cisco」が出荷され、これは攻撃者がルーターに分割するために使用されました。現実には、オペレーターは、おそらく複数のメンテナーにパスワードを広めるのが難しいため、そのパスワードでCiscoルーターを構成することがよくあります。ジュニパールーターやその他のベンダーの製品にも同様の問題があります。

How to provide effective education to the Internet user community at large remains a great challenge. As mentioned earlier in this report, the existence of a large number of compromised hosts is one major source of the unwanted traffic problem, and the ultimate solution to this problem is a well-informed, vigilant user community.

インターネットユーザーコミュニティ全体に効果的な教育を提供する方法は、依然として大きな課題です。このレポートで前述したように、多数の侵害されたホストの存在は、不要なトラフィック問題の主要な原因の1つであり、この問題の究極の解決策は、十分な情報に基づいた警戒ユーザーコミュニティです。

4.3.4. Is Closing Down Open Internet Access Necessary?
4.3.4. オープンインターネットアクセスの閉鎖は必要ですか?

One position made at the workshop is that, facing the problems of millions of vulnerable computers and lack of effective deterrence, protecting the Internet might require a fundamental change to the current Internet architecture, by replacing unconstrained open access to the Internet with strictly controlled access. Although the participants held different positions on this issue, a rough consensus was reached that, considering the overall picture, enforcing controlled access does not seem the best solution to Internet protection. Instead, the workshop identified a number of needs that should be satisfied to move towards a well protected Internet:

ワークショップで作られた1つのポジションは、何百万もの脆弱なコンピューターの問題と効果的な抑止力の欠如に直面しているため、インターネットを保護する必要がある可能性があることです。参加者はこの問題について異なる立場を保持していましたが、全体像を考慮して、制御されたアクセスを強制することはインターネット保護の最良の解決策とは思えないという大まかなコンセンサスに達しました。代わりに、ワークショップは、よく保護されたインターネットに向かって移動するために満たすべき多くのニーズを特定しました。

o the need for risk assessment for service providers; at this time, we lack a commonly agreed bar for security assurance;

o サービスプロバイダーのリスク評価の必要性。現時点では、セキュリティ保証のために一般的に合意されたバーがありません。

o the need to add traceability to allow tracking of abnormal behavior in the network, and

o ネットワーク内の異常な動作の追跡を可能にするためにトレーサビリティを追加する必要性、および

o the need for liability if someone fails to follow recommended practices.

o 誰かが推奨される慣行に従わなかった場合、責任の必要性。

Adding traceability has been difficult due to the distributed nature of the Internet. Collaboration among operators is a necessity in fighting cybercrimes. We must also pay attention to preparation for the next cycle of miscreant activity, and not devote all our efforts to fixing the existing problems. As discussed above, the current reactive approach to security problems is not a winning strategy.

インターネットの分散性のため、トレーサビリティを追加することは困難でした。オペレーター間のコラボレーションは、サイバー犯罪と戦うために必要です。また、悪党活動の次のサイクルの準備に注意を払う必要があり、既存の問題を解決するためのすべての努力を捧げる必要はありません。上記で説明したように、セキュリティの問題に対する現在の反応的アプローチは、勝利戦略ではありません。

5. Active and Potential Solutions in the Pipeline
5. パイプライン内のアクティブおよび潜在的なソリューション

This section addresses the issues that vendors recognized as important and for which there will be solutions available in the near future.

このセクションでは、ベンダーが重要であると認識し、近い将来にソリューションが利用できる問題について説明します。

There are a number of potential solutions that vendors are working on, but are not yet offering as part of their product portfolio, that will allegedly remedy or diagnose the problems described in Section 4.1.

ベンダーが取り組んでいるが、製品ポートフォリオの一部としてまだ提供されていない多くの潜在的なソリューションがあります。これは、セクション4.1で説明されている問題を是正または診断すると言われています。

Inevitably, when vendors have or are about to make a decision on implementing new features in their products but have not made any announcement, the vendors are not willing to talk about the new features openly, which limits what can be said in this section.

必然的に、ベンダーが製品に新機能を実装することを決定しようとしているか、発表していない場合、ベンダーは新機能について公然と話すつもりはありません。

5.1. Central Policy Repository
5.1. 中央ポリシーリポジトリ

One idea is to build a Central Policy Repository that holds policies that are known to work properly, e.g., policies controlling from whom one would accept traffic when under attack. This repository could, for example, keep information on which neighbor router or AS is doing proper ingress address filtering. The repository could also hold the configurations that operators use to upgrade configurations on their routers.

1つのアイデアは、適切に機能することが知られているポリシーを保持する中央ポリシーリポジトリを構築することです。このリポジトリは、たとえば、近隣ルーターまたは適切なイングレスアドレスフィルタリングを行っている情報を保持することができます。リポジトリは、オペレーターがルーターの構成をアップグレードするために使用する構成を保持することもできます。

If such a repository is to be a shared resource used by multiple operators, it will necessarily require validation and authentication of the stored policies to ensure that the repository does not become the cause of vulnerabilities. Inevitably, this would mean that the information comes with a cost and it will only be viable if the sum of the reductions in individual operators' costs is greater than the costs of maintaining the repository.

このようなリポジトリが複数の演算子が使用する共有リソースである場合、リポジトリが脆弱性の原因にならないように、保存されたポリシーの検証と認証が必然的に必要です。必然的に、これは情報にコストが伴うことを意味し、個々のオペレーターのコストの削減の合計がリポジトリを維持するコストよりも大きい場合にのみ実行可能になります。

5.2. Flow Based Tools
5.2. フローベースのツール

A set of tools based on flow data is widely used to extract information from both network and data link layers. Tools have been built that can be used to find out the sources of almost any type of traffic, including certain unwanted traffic. These flow-based tools make it possible to do things like DDoS traceback, traffic/peering analyses, and detection of botnets, worms, and spyware.

フローデータに基づくツールのセットは、ネットワークリンクレイヤーとデータリンクレイヤーの両方から情報を抽出するために広く使用されています。特定の不要なトラフィックを含む、ほぼすべてのタイプのトラフィックのソースを見つけるために使用できるツールが構築されています。これらのフローベースのツールにより、DDOSトレースバック、トラフィック/ピアリング分析、ボットネット、ワーム、スパイウェアの検出などを行うことができます。

These tools monitor flows on the network and build baselines for what is the "normal" behavior. Once the baseline is available, it is possible to detect anomalous activity. It is easy to detect variations over time, and decide if the variation is legitimate or not. It is possible to take this approach further, typically involving the identification of signatures of particular types of traffic.

これらのツールは、ネットワーク上のフローを監視し、「通常の」動作とは何かのベースラインを構築します。ベースラインが利用可能になると、異常な活性を検出できます。時間の経過とともにバリエーションを検出し、バリエーションが合法かどうかを判断するのは簡単です。このアプローチをさらに進めることができます。通常、特定のタイプのトラフィックの署名の識別を含みます。

These flow-based tools are analogous to the "sonar" that is used by navies to listen for submarines. Once a particular submarine is identified, it is possible to record its sonar signature to be used to provide rapid identification in the future when the same submarine is encountered again.

これらのフローベースのツールは、海軍が潜水艦を聴くために使用される「ソナー」に類似しています。特定の潜水艦が特定されると、同じ潜水艦が再び遭遇したときに、将来の迅速な識別を提供するために使用されるソナーの署名を記録することができます。

Examples of existing tools include Cisco IOS NetFlow <http://www.cisco.com/en/US/products/ps6601/ products_ios_protocol_group_home.html>, sFlow <http://www.sflow.org/>, and NeTraMet <http://www.caida.org/tools/measurement/netramet/> based on the IETF RTFM and IPFIX standards.

既存のツールの例には、Cisco iOS Netflow <http://www.cisco.com/en/us/products/ps6601/ products_ios_protocol_group_home.html>、sflow <http://www.sflow.org/、およびNetramet <HTPP://www.caida.org/tools/measurement/netramet/> IETF RTFMおよびIPFIX標準に基づいて。

There are also tools for working with the output of NetFlow such as jFlow <http://www.net-track.ch/opensource/jflow/> and Arbor Networks' Peakflow <http://www.arbor.net/products_platform.php>.

jflow <http://www.net-track.ch/opensource/jflow/>およびarbor Networks 'peakflow <http://www.arbor.net/products_platformなど、Netflowの出力を使用するためのツールもあります。php>。

The Cooperative Association for Internet Data Analysis (CAIDA) maintains a taxonomy of available tools on its web site at <http://www.caida.org/tools/taxonomy/index.xml>.

協同組合インターネットデータ分析協会(CAIDA)は、<http://www.caida.org/tools/taxonomy/index.xml>のWebサイトで利用可能なツールの分類法を維持しています。

5.3. Internet Motion Sensor (IMS)
5.3. インターネットモーションセンサー(IMS)

The Internet Motion Sensor (IMS) [IMS] may be used to watch traffic to or from "Darknets" (routable prefixes that don't have end hosts attached), unassigned address spaces, and unannounced address spaces. By watching activities in these types of address spaces, one can understand and detect, e.g., scanning activities, DDoS worms, worm infected hosts, and misconfigured hosts.

インターネットモーションセンサー(IMS)[IMS]は、「DarkNets」(エンドホストが添付されていないルーティング可能なプレフィックス)、割り当てられていないアドレススペース、および未発表のアドレススペースとの間のトラフィックを監視するために使用できます。これらのタイプのアドレススペースでアクティビティを見ることで、スキャンアクティビティ、DDOSワーム、ワーム感染ホスト、および誤解されたホストを理解して検出することができます。

Currently, the IMS is used to monitor approximately 17 million prefixes, about 1.2% of the IPv4 address space. The use of IMS has highlighted two major characteristics of attacks; malicious attacks are more targeted than one might have assumed, and a vulnerability in a system does not necessarily lead to a threat to that system (e.g., the vulnerability may not be exploited to launch attacks if the perceived "benefit" to the attacker appears small). Data from IMS and other sources indicates that attackers are making increased use of information from social networking sites to target their attacks and select perceived easy targets, such as computers running very old versions of systems or new, unpatched vulnerabilities.

現在、IMSは約1700万の接頭辞を監視するために使用されており、IPv4アドレススペースの約1.2%です。IMSの使用は、攻撃の2つの主要な特性を強調しています。悪意のある攻撃は想定されているよりもターゲットを絞っており、システムの脆弱性は必ずしもそのシステムに対する脅威につながるとは限りません(たとえば、攻撃者に対する「利益」が小さなように見える場合、攻撃を開始するために脆弱性を悪用することはできない場合があります)。IMSやその他のソースからのデータは、攻撃者がソーシャルネットワーキングサイトから情報を増やして攻撃をターゲットにしており、非常に古いバージョンのシステムや新しい、未収脆弱性を実行しているコンピューターなど、認識された簡単なターゲットを選択していることを示しています。

This form of passive data collection is also known as a "Network Telescope". Links to similar tools can be found on the CAIDA web site at <http://www.caida.org/data/passive/network_telescope.xml>.

この形式のパッシブデータ収集は、「ネットワーク望遠鏡」としても知られています。同様のツールへのリンクは、<http://www.caida.org/data/passive/network_telescope.xml>のCaida Webサイトにあります。

5.4. BCP 38
5.4. BCP 38

In the year 2000, the IETF developed a set of recommendations to limit DOS attacks and Address Spoofing published as BCP 38 [RFC2827], "Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing". However, up to now BCP 38 capabilities still have not been widely deployed, perhaps due to the incentive issue discussed earlier.

2000年に、IETFは、DOS攻撃を制限し、BCP 38 [RFC2827]として公開されたスプーフィングに住所を持つ一連の推奨事項を開発しました。ただし、これまで、BCP 38機能はまだ広く展開されていません。おそらく前述のインセンティブの問題により。

The IETF has also developed an additional set of recommendations extending BCP 38 to multihomed networks. These recommendations are published as BCP 84 [RFC3704].

IETFは、BCP 38をマルチホームネットワークに拡張する追加の推奨セットも開発しました。これらの推奨事項は、BCP 84 [RFC3704]として公開されています。

5.5. Layer 5 to 7 Awareness
5.5. レイヤー5〜7の認識

Tools are being developed that will make it possible to perform deep packet inspection at high speed. Some companies are working on hardware implementation to inspect all layers from 2 to 7 (e.g., EZchip <http://www.ezchip.com/t_npu_whpaper.htm>). A number of other companies, including Cisco and Juniper, offer tools capable of analyzing packets at the transport layer and above.

高速で深いパケット検査を実行できるようにするツールが開発されています。一部の企業は、すべてのレイヤーを2〜7のレイヤーに検査するためにハードウェアの実装に取り組んでいます(例:ezchip <http://www.ezchip.com/t_npu_whpaper.htm>)。CiscoやJuniperを含む他の多くの企業は、輸送層以上のパケットを分析できるツールを提供しています。

5.6. How To's
5.6. ハウツー

One idea that was discussed at the workshop envisaged operators and standards bodies cooperating to produce a set of "How To" documents as guidelines on how to configure networks. Dissemination and use of these "How To's" should be encouraged by vendors, operators, and standards bodies.

ワークショップで議論された1つのアイデアは、ネットワークの構成方法に関するガイドラインとして「方法」のセットを作成するために協力するオペレーターと標準機関を想定しています。これらの「ハウツー」の普及と使用は、ベンダー、オペレーター、および標準団体によって奨励されるべきです。

This type of initiative needs a "sponsor" or "champion" that takes the lead and starts collecting a set of "How To's" that could be freely distributed. The workshop did not discuss this further.

このタイプのイニシアチブには、リードを奪い、自由に配布できる「How To」のセットを収集し始める「スポンサー」または「チャンピオン」が必要です。ワークショップではこれについてはこれ以上議論しませんでした。

5.7. SHRED
5.7. シュレッド

Methods to discourage the dissemination of spam by punishing the spammers, such as Spam Harassment Reduction via Economic Disincentive (SHRED) [SHRED], were discussed. The idea is to make it increasingly expensive for spammers to use the email system, while normal users retain what they have come to expect as normal service. There was no agreement on the effectiveness of this type of system.

経済的妨害(シュレッド)[シュレッド]を介したスパムの嫌がらせ削減など、スパマーを罰することによりスパムの普及を思いとどまらせる方法について議論しました。アイデアは、スパマーが電子メールシステムを使用するためにますます高価にすることですが、通常のユーザーは通常のサービスとして期待するものを保持します。このタイプのシステムの有効性に関する合意はありませんでした。

6. Research in Progress
6. 進行中の研究

In preparation for this session, several researchers active in Internet Research were asked two rather open ended questions: "Where is the focus on Internet research today?" and "Where should it be?"

このセッションに備えて、インターネット調査に積極的に活動している研究者は、「今日のインターネット調査に焦点を当てているのはどこですか?」そして「どこにあるべきか?」

A summary of the answers to these questions is given below. Section 6.2.2 covers part of the relationship between research and miscreants. For example, research activities in each area (please refer to the slide set for Workshop Session 8 which can be found at the link referred to in Appendix C).

これらの質問に対する回答の概要を以下に示します。セクション6.2.2は、研究と悪党の関係の一部をカバーしています。たとえば、各エリアでの研究活動(付録Cで言及されているリンクにあるワークショップセッション8のスライドセットを参照してください)。

6.1. Ongoing Research
6.1. 進行中の研究

Section 6.1 discusses briefly areas where we see active research on unwanted traffic today.

セクション6.1では、今日の不要なトラフィックに関する積極的な研究が見られる簡単な領域について説明します。

6.1.1. Exploited Hosts
6.1.1. 搾取されたホスト

One area where researchers are very active is analyzing situations where hosts are exploited. This has been a major focus for a long time, and an abundance of reports have been published. Current research may be divided into three different categories: prevention, detection, and defense.

研究者が非常に活発な分野の1つは、ホストが悪用される状況を分析することです。これは長い間大きな焦点であり、豊富なレポートが公開されています。現在の研究は、予防、検出、防御の3つの異なるカテゴリに分類される場合があります。

6.1.1.1. Prevention
6.1.1.1. 防止

Code quality is crucial when it comes to preventing exploitation of Internet hosts. Quite a bit of research effort has therefore gone into improvement of code quality. Researchers are looking into automated methods for finding bugs and maybe in the end fixes for any bugs detected.

インターネットホストの搾取を防ぐことに関しては、コードの品質が重要です。したがって、かなりの研究努力がコードの品質の改善に取り組んできました。研究者は、バグを見つけるための自動化された方法を検討しています。

A second approach designed to stop hosts from becoming compromised is to reduce the "attack surface". Researchers are thinking about changes or extensions to the Internet architecture. The idea is to create a strict client server architecture, where the clients only are allowed to initiate connections, and while servers may only accept connections.

ホストが侵害されないように設計された2番目のアプローチは、「攻撃面」を減らすことです。研究者は、インターネットアーキテクチャの変更または拡張について考えています。アイデアは、クライアントが接続の開始のみを許可され、サーバーが接続のみを受け入れることができる厳格なクライアントサーバーアーキテクチャを作成することです。

Researchers have put a lot of effort into better scaling of honey pots and honey farms to better understand and neutralize the methods miscreants are using to exploit hosts. Research also goes into developing honey monkeys in order to understand how hosts are vulnerable. Both honey pots/farms and honey monkeys are aimed at taking measures that prevent further (mis-)use of possible exploits.

研究者は、ミスクリーンがホストを悪用するために使用している方法をよりよく理解し、中和するために、ハニーポットとハニーファームのより良いスケーリングに多くの努力を注いできました。また、ホストがどのように脆弱であるかを理解するために、ハニーサルの開発にも研究が行われます。ハニーポット/農場とハニーサルの両方は、可能性のあるエクスプロイトのさらに(誤った)使用を防ぐ措置を講じることを目的としています。

6.1.1.2. Detection
6.1.1.2. 検出

When an attack is launched against a computer system, the attack typically leaves evidence of the intrusion in the system logs. Each type of intrusion leaves a specific kind of footprint or signature. The signature can be evidence that certain software has been executed, that logins have failed, that administrative privileges have been misused, or that particular files and directories have been accessed. Administrators can document these attack signatures and use them to detect the same type of attack in the future. This process can be automated.

コンピューターシステムに対して攻撃が開始されると、攻撃は通常、システムログに侵入の証拠を残します。侵入の各タイプは、特定の種類のフットプリントまたは署名を残します。署名は、特定のソフトウェアが実行されたこと、ログインが失敗したこと、管理特権が誤用されたこと、または特定のファイルとディレクトリがアクセスされたことの証拠です。管理者は、これらの攻撃署名を文書化し、それらを使用して将来同じタイプの攻撃を検出できます。このプロセスは自動化できます。

Because each signature is different, it is possible for system administrators to determine by looking at the intrusion signature what the intrusion was, how and when it was perpetrated, and even how skilled the intruder is.

各署名は異なるため、システム管理者は、侵入が何であるか、どのように、いつ実行されたか、さらには侵入者がどれほど熟練しているかさえ、侵入署名を見ることで決定することができます。

Once an attack signature is available, it can be used to create a vulnerability filter, i.e., the stored attack signature is compared to actual events in real time and an alarm is given when this pattern is repeated.

攻撃署名が利用可能になると、脆弱性フィルターを作成するために使用できます。つまり、保存された攻撃署名はリアルタイムの実際のイベントと比較され、このパターンが繰り返されるとアラームが与えられます。

A further step may be taken with automated vulnerability signatures, i.e., when a new type of attack is found, a vulnerability filter is automatically created. This vulnerability filter can be made available for nodes to defend themselves against this new type of attack. The automated vulnerability signatures may be part of an Intrusion Detection System (IDS).

自動化された脆弱性の署名を使用してさらにステップを踏み出すことができます。つまり、新しいタイプの攻撃が見つかると、脆弱性フィルターが自動的に作成されます。この脆弱性フィルターは、ノードがこの新しいタイプの攻撃から身を守るために利用できるようにすることができます。自動化された脆弱性署名は、侵入検知システム(IDS)の一部である可能性があります。

6.1.1.3. Defense
6.1.1.3. 防衛

An IDS can be a part of the defense against actual attacks, e.g., by using vulnerability filters. An Intrusion Detection System (IDS) inspects inbound and outbound network activities and detects signatures that indicate that a system is under attack from someone attempting to break into or compromise the system.

IDは、脆弱性フィルターを使用することにより、実際の攻撃に対する防御の一部となる可能性があります。侵入検知システム(IDS)は、インバウンドおよびアウトバウンドのネットワークアクティビティを検査し、システムがシステムに侵入または侵害しようとしている人から攻撃を受けていることを示す署名を検出します。

6.1.2. Distributed Denial of Service (DDoS) Attacks
6.1.2. 分散型サービス拒否(DDOS)攻撃

Research on DDoS attacks follows two separate approaches, the first has the application as its focus, while the second focuses on the network.

DDOS攻撃に関する研究は2つの別々のアプローチに従います。1つ目はアプリケーションに焦点を当て、2つ目はネットワークに焦点を当てています。

6.1.2.1. Application Oriented DDoS Research
6.1.2.1. アプリケーション指向のDDOS研究

The key issue with application oriented research is to distinguish between legitimate activities and attacks. Today, several tools exist that can do this and research has moved on to more advanced things.

アプリケーション指向の研究の重要な問題は、正当な活動と攻撃を区別することです。今日、これを行うことができるいくつかのツールが存在し、研究がより高度なものに移行しました。

Research today looks into tools that can detect and filter activities that have been generated by bots and botnets.

今日の調査では、ボットとボットネットによって生成されたアクティビティを検出およびフィルタリングできるツールを検討します。

One approach is to set up a tool that sends challenges to senders that want to send traffic to a certain node. The potential sender then has to respond correctly to that challenge; otherwise, the traffic will be filtered out.

アプローチの1つは、特定のノードにトラフィックを送信したい送信者に課題を送信するツールをセットアップすることです。潜在的な送信者は、その課題に正しく対応する必要があります。それ以外の場合、トラフィックが除外されます。

The alternative is to get more capacity between sender and receiver. This is done primarily by some form of use of peer-to-peer technology.

別の方法は、送信者と受信機の間でより多くの容量を得ることです。これは、主にピアツーピアテクノロジーの何らかの形の使用によって行われます。

Today, there is "peer-to-peer hype" in the research community; a sure way of making yourself known as a researcher is to publish something that solves old problems by means of some peer-to-peer technology. Proposals now exist for peer-to-peer DNS, peer-to-peer backup solutions, peer-to-peer web-cast, etc. Whether these proposals can live up to the hype remains to be seen.

今日、研究コミュニティには「ピアツーピアの誇大広告」があります。自分自身を研究者として知られる確実な方法は、ピアツーピアテクノロジーによって古い問題を解決するものを公開することです。現在、ピアツーピアDNS、ピアツーピアバックアップソリューション、ピアツーピアのWebキャストなどの提案が存在します。これらの提案が誇大広告に対応できるかどうかはまだわかりません。

6.1.2.2. Network Oriented DDoS Research
6.1.2.2. ネットワーク指向のDDOS研究

Research on DDoS attacks that takes a network oriented focus may be described by the following oversimplified three steps.

ネットワーク指向のフォーカスをとるDDOS攻撃に関する研究は、以下の過度に単純化された3つのステップによって説明される場合があります。

1. Find the bad stuff

1. 悪いものを見つけてください

2. Set the "evil bit" on those packets

2. これらのパケットに「邪悪なビット」を設定します

3. Filter out the packets with the "evil bit" set

3. 「邪悪なビット」セットでパケットを除外します

This rather uncomplicated scheme has to be carried out on high-speed links and interfaces. Automation is the only way of achieving this.

このかなり複雑なスキームは、高速リンクとインターフェイスで実行する必要があります。自動化はこれを達成する唯一の方法です。

One way of indirectly setting the "evil bit" is to use a normalized TTL. The logic goes: the TTL for traffic from this sender has always been "x", but has now suddenly become "y", without any corresponding change in routing. The conclusion is that someone is masquerading as the legitimate sender. Traffic with the "y" TTL is filtered out.

間接的に「邪悪なビット」を設定する1つの方法は、正規化されたTTLを使用することです。ロジックは次のとおりです。この送信者からのトラフィックのTTLは常に「X」でしたが、ルーティングに対応する変更はなく、突然「Y」になりました。結論は、誰かが正当な送信者を装っているということです。「Y」TTLを使用したトラフィックが除外されます。

Another idea is to give traffic received from ISPs that are known to do source address validation the "red carpet treatment", i.e., to set the "good bit". When an attack is detected, traffic from everyone that doesn't have the "good bit" is filtered out. Apart from reacting to the attack, this also give ISPs an incentive to do source address validation. If they don't do it, their peers won't set the "good bit" and the ISP's customers will suffer, dragging down their reputation.

別のアイデアは、ソースアドレスの検証を行うことが知られているISPから受け取ったトラフィックを「レッドカーペット処理」、つまり「良いビット」を設定することです。攻撃が検出されると、「良いビット」がないすべての人からのトラフィックが除外されます。攻撃への反応とは別に、これはISPSにソースアドレスの検証を行うインセンティブも与えます。彼らがそれをしなければ、彼らの仲間は「良いビット」を設定せず、ISPの顧客は苦しみ、彼らの評判を引き下げます。

Overlay networks can also be used to stop a DDoS attack. The idea here is that traffic is not routed directly to the destination. Instead, it is hidden behind some entry points in the overlay. The entry points make sure the sender is the host he claims he is, and in that case, marks the packet with a "magic bit". Packets lacking the "magic bit" are not forwarded on the overlay. This has good scaling properties; you only need to have enough capacity to tag the amount of traffic you want to receive, not the amount you actually receive.

オーバーレイネットワークを使用して、DDOS攻撃を停止することもできます。ここでのアイデアは、トラフィックが目的地に直接ルーティングされないということです。代わりに、オーバーレイのいくつかのエントリポイントの後ろに隠されています。エントリポイントは、送信者が自分が主張するホストであることを確認し、その場合、パケットを「マジックビット」でマークします。「マジックビット」を欠くパケットは、オーバーレイに転送されません。これには優れたスケーリングプロパティがあります。実際に受け取る金額ではなく、受け取るトラフィックの量にタグを付けるのに十分な容量が必要です。

6.1.3. Spyware
6.1.3. スパイウェア

Current research on spyware and measurements of spyware are aiming to find methods to understand when certain activities associated with spyware happen and to understand the impact of this activity.

スパイウェアの現在の研究とスパイウェアの測定は、スパイウェアに関連する特定のアクティビティがいつ発生するかを理解し、このアクティビティの影響を理解する方法を見つけることを目指しています。

There are a number of research activities around spyware, e.g., looking into threats caused by spyware; however, these were only briefly touched upon at the workshop.

スパイウェアをめぐる多くの研究活動があります。たとえば、スパイウェアによって引き起こされる脅威を調査しています。ただし、これらはワークショップで一時的に触れただけでした。

6.1.4. Forensic Aids
6.1.4. フォレンジックエイズ

Lately, research has started to look into tools and support to answer the "What happened here?" question. These tools are called "forensic aids", and can be used to "recreate" an illegal activity just as the police do when working on a crime scene.

最近、研究はツールとサポートを調査し、「ここで何が起こったのか」に答えることができました。質問。これらのツールは「フォレンジックエイズ」と呼ばれ、犯罪現場に取り組んでいるときと同じように、警察が行うように違法行為を「再現」するために使用できます。

The techniques that these forensic aids take as their starting point involve the identification of a process or program that should not be present on a computer. The effort goes into building tools and methods that can trace the intruder back to its origin. Methods to understand how a specific output depends on a particular input also exist.

これらの法医学的補助具が出発点としてとる技術には、コンピューターに存在してはならないプロセスまたはプログラムの識別が含まれます。この努力は、侵入者をその起源に戻すことができるツールと方法を構築することにかかっています。特定の出力が特定の入力に依存する方法を理解する方法も存在します。

6.1.5. Measurements
6.1.5. 測定

Measurements are always interesting for the research community, because they generate new data. Consequently, lots of effort goes into specifying how measurements should be performed and into development of measurement tools. Measurements have been useful in creating effective counter-measures against worms. Before measurements gave actual data of how worms behave, actions taken against worms were generally ineffective.

測定は、新しいデータを生成するため、研究コミュニティにとって常に興味深いものです。その結果、測定を実行する方法を指定し、測定ツールの開発に多くの努力が必要です。測定は、ワームに対する効果的な対策を作成するのに役立ちます。測定値がワームの振る舞いの実際のデータを提供する前に、ワームに対して取られたアクションは一般に効果がありませんでした。

6.1.6. Traffic Analysis
6.1.6. トラフィック分析

One aspect of research that closely relates to measurements is analysis. Earlier, it was common to look for the amount of traffic traversing certain transport ports. Lately, it has become common to tunnel "everything" over something else, and a shift has occurred towards looking for behavior and/or content. When you see a certain behavior or content over a protocol that is not supposed to behave in this way, it is likely that something bad is going on.

測定に密接に関連する研究の1つの側面は分析です。以前は、特定の輸送ポートを通過するトラフィックの量を探すことが一般的でした。最近、他の何かの上に「すべて」をトンネルすることが一般的になり、行動や内容を探すことに変化が起こりました。このように動作するはずではないプロトコルを介して特定の動作またはコンテンツを見ると、何か悪いことが起こっている可能性があります。

Since this is an arms race, the miscreants that use tunneling protocols have started to mimic the pattern of something that is acceptable.

これは武器競争であるため、トンネルプロトコルを使用する悪党は、受け入れられるもののパターンを模倣し始めました。

6.1.7. Protocol and Software Security
6.1.7. プロトコルとソフトウェアセキュリティ

The general IETF design guidelines for robust Internet protocols says: "Be liberal in what you receive and conservative in what you send". The downside is that most protocols believe what they get and as a consequence also get what they deserve. The IAB is intending to work on new design guidelines, e.g., rules of thumb and things you do and things you don't. This is not ready yet, but will be offered as input to a BCP in due course.

堅牢なインターネットプロトコルの一般的なIETF設計ガイドラインは、「あなたが受け取るものでリベラルであり、送信するもので保守的である」と述べています。欠点は、ほとんどのプロトコルが自分が得るものを信じており、結果として彼らにふさわしいものを得ることです。IABは、新しい設計ガイドライン、例えば、親指のルールやあなたがしていることやそうでないことに取り組むつもりです。これはまだ準備ができていませんが、やがてBCPへの入力として提供されます。

An area where there is a potential overlap between standards people and researchers is protocol analysis languages. The protocol analysis languages could be used, for example, look for vulnerabilities.

人と研究者の間に潜在的な重複がある領域は、プロトコル分析言語です。たとえば、プロトコル分析言語を使用できます。たとえば、脆弱性を探すことができます。

6.2. Research on the Internet
6.2. インターネット上の研究

The workshop discussed the interface between people working in standardization organizations in general and IETF in particular on the one hand and people working with research on the other. The topic of discussion was broader than just "Unwanted traffic". Three topics were touched on: what motivates researchers, how to attract researchers to problems that are hindering or have been discovered in the context of standardization, and the sometimes rocky relations between the research community and the "bad boys".

ワークショップでは、一般に標準化組織で働いている人々と、特にIETFで働いている人々と、他方の研究に携わる人々との間のインターフェースについて説明しました。議論のトピックは、単なる「不要なトラフィック」よりも広かった。3つのトピックが触れられました。研究者の動機付け、標準化の文脈で妨げられている、または発見された問題に研究者を惹きつける方法、および研究コミュニティと「悪い男の子」の間の時には岩の多い関係。

6.2.1. Research and Standards
6.2.1. 研究と基準

The workshop discussed how research and standardization could mutually support each other. Quite often there is a commonality of interest between the two groups. The IAB supports the Internet Research Task Force (IRTF) as a venue for Internet research. The delta between what is done and what could be is still substantial. The discussion focused on how standardization in general and the IETF in particular can get help from researchers.

ワークショップでは、研究と標準化がどのように相互にサポートできるかについて説明しました。多くの場合、2つのグループ間に関心の共通性があります。IABは、インターネット調査の会場としてインターネットリサーチタスクフォース(IRTF)をサポートしています。行われていることと可能性のあるものの間のデルタは、まだかなりのものです。議論は、一般的に、特にIETFがどのように研究者から助けを得ることができるかに焦点を当てました。

Since standardization organizations don't have the economic strength to simply finance the research they need or want, other means have to be used. One is to correctly and clearly communicate problems, another is to supply adequate and relevant information.

標準化組織には、単に必要な研究に資金を供給するための経済的強さはないため、他の手段を使用する必要があります。1つは問題を正しく明確に伝えることであり、もう1つは適切で関連性のある情報を提供することです。

To attract the research community to work with standardization organizations, it is necessary to identify the real problems and state them in such a way that they are amenable to solution. General unspecified problems are of no use, e.g., "This is an impossible problem!" or "All the problems are because my users behave badly!"

標準化組織と協力するために研究コミュニティを引き付けるには、実際の問題を特定し、それらが解決に適しているようにそれらを述べる必要があります。一般的な不特定の問題は役に立たない、たとえば「これは不可能な問題です!」または「すべての問題は、私のユーザーがひどく振る舞うからです!」

Instead, saying "This is an absolutely critical problem, and we have no idea how to solve it!" is much more attractive.

代わりに、「これは絶対に重要な問題であり、それを解決する方法がわかりません!」もっと魅力的です。

The potential research problem should also be communicated in a way that is public. A researcher that wants to take on a problem is helped if she/he can point at a slide from NANOG or RIPE that identifies this problem.

潜在的な研究問題も、公開されている方法で伝えられるべきです。問題を引き受けたい研究者は、ナノグからスライドを指したり、この問題を特定したりする熟したものを指すことができる場合に助けられます。

The way researchers go about solving problems is basically to identify all the existing constraints, and then relax one of the constraints and see what happens. Therefore, rock solid constraints are a show stopper, e.g., "We can't do that, because it has to go into an ASIC!". Real constraints have to be clearly communicated to and understood by the researcher.

研究者が問題を解決する方法は、基本的に既存のすべての制約を特定し、制約の1つをリラックスして何が起こるかを確認することです。したがって、岩石の固体の制約はショーストッパーです。たとえば、「ASICに入らなければならないので、それはできません!」実際の制約は、研究者に明確に伝え、理解する必要があります。

One reasonable way of fostering cooperation is to entice two or three people and have them write a paper on the problem. What will happen then is that this paper will be incrementally improved by other researchers. The vast majority of all research goes into improving on someone else's paper.

協力を促進する合理的な方法の1つは、2〜3人を誘惑し、問題に関する論文を書くことです。その後、この論文は他の研究者によって徐々に改善されることです。すべての研究の大部分は、他の人の論文の改善に取り組んでいます。

A second important factor is to supply sufficient relevant information. New information that suggests possible ways to address new problems or improve on old or partial solutions to previously investigated problems are attractive. Often, understanding of important problems comes from the operator community; when trying to initiate research from a standards perspective, keeping operators in the loop may be beneficial.

2番目の重要な要素は、十分な関連情報を提供することです。新しい問題に対処したり、以前に調査された問題に対する古いまたは部分的な解決策を改善する可能性のある方法を提案する新しい情報は魅力的です。多くの場合、重要な問題の理解はオペレーターコミュニティから来ています。標準の観点から研究を開始しようとする場合、オペレーターをループに維持することが有益である可能性があります。

Today, the research community is largely left on its own, and consequently tends to generate essentially random, untargeted results. If the right people in the standards community say the right things to the right people in the research community, it can literally focus hundreds of graduate students on a single problem. Problem statements and data are needed.

今日、研究コミュニティはそれ自体が主に残されているため、その結果、本質的にランダムでターゲットのつけられていない結果を生成する傾向があります。標準コミュニティの適切な人々が、研究コミュニティの適切な人々に適切なことを言っている場合、文字通り何百人もの大学院生を単一の問題に集中させることができます。問題のステートメントとデータが必要です。

6.2.2. Research and the Bad Guys
6.2.2. 研究と悪者

A general problem with all research and development is that what can be used may also be misused. In some cases, miscreants have received help from research that was never intended.

すべての研究開発の一般的な問題は、使用できるものも悪用される可能性があることです。場合によっては、悪党は決して意図されていない研究から助けを受けています。

There are several examples of Free Nets, i.e., networks designed to allow end-users to participate without revealing their identity or how and where they are connected to the network. The Free Nets are designed based on technologies such as onion routing or mix networks. Free Nets create anonymity that allows people to express opinions without having to reveal their true identity and thus can be used to promote free speech. However, these are tools that can also work just as well to hide illegal activities in democracies.

フリーネットの例はいくつかあります。つまり、エンドユーザーが自分のアイデンティティやネットワークに接続されている方法と場所を明らかにすることなく参加できるように設計されたネットワークがあります。フリーネットは、オニオンルーティングやミックスネットワークなどのテクノロジーに基づいて設計されています。無料のネットは、真のアイデンティティを明らかにすることなく意見を表明できるようにする匿名性を作成し、したがって言論の自由を促進するために使用できます。しかし、これらはまた、民主主義における違法な活動を隠すためにも同様に機能する可能性のあるツールです。

Mix networks create hard-to-trace communications by using a chain of proxy servers. A message from a sender to a receiver passes by the chain of proxies. A message is encrypted with a layered encryption where each layer is understood by only one of the proxies in the chain; the actual message is the innermost layer. A mix network will achieve untraceable communication, even if all but one of the proxies are compromised by a potential tracer.

ネットワークのミックスプロキシサーバーのチェーンを使用して、困難な通信を作成します。送信者から受信機へのメッセージは、プロキシのチェーンを通過します。メッセージは、各レイヤーがチェーン内のプロキシの1つだけによって理解される層状暗号化で暗号化されます。実際のメッセージは最も内側のレイヤーです。ミックスネットワークは、プロキシの1つを除くすべてが潜在的なトレーサーによって損なわれている場合でも、追跡不可能な通信を実現します。

Onion routing is a technique for anonymous communication over a computer network; it is a technique that encodes routing information in a set of encrypted layers. Onion routing is a further development of mix networks.

オニオンルーティングは、コンピューターネットワーク上の匿名通信の手法です。これは、暗号化されたレイヤーのセットでルーティング情報をエンコードする手法です。オニオンルーティングは、ミックスネットワークのさらなる開発です。

Research projects have resulted in methods for distributed command and control, e.g., in the form of Distributed Hash Tables (DHT) and gossip protocols. This of course has legitimate uses, e.g., for security and reliability applications, but it also is extremely useful for DDoS attacks and unwanted traffic in general.

研究プロジェクトの結果、分散ハッシュテーブル(DHT)およびゴシッププロトコルの形で、分散コマンドと制御の方法がありました。もちろん、これには、セキュリティと信頼性のアプリケーションなどの合法的な用途がありますが、DDOS攻撃や不要なトラフィック全般にも非常に役立ちます。

A lot of effort has gone into research around worms, the result is that we have a very good understanding of the characteristics of the technology associated with worms and how they behave. This is a very good basis when we want to protect against worms. The downside is that researchers also understand how to implement future worms, including knowledge on how to design faster worms that won't leave a footprint.

ワームに関する研究には多くの努力が払われており、その結果、ワームに関連するテクノロジーの特性とそれらの振る舞いを非常によく理解しています。ワームから保護したい場合、これは非常に良い根拠です。欠点は、研究者がフットプリントを残さないより速いワームを設計する方法に関する知識など、将来のワームを実装する方法も理解していることです。

7. Aladdin's Lamp
7. アラジンのランプ

If we had an Aladdin's Lamp and could be granted anything we wanted in the context of remedying unwanted traffic or effects of such traffic - what would we wish for? The topic of this session was wishes, i.e., loosening the constraints that depend on what we have and focus on what we really want.

アラジンのランプを持っていて、不要なトラフィックやそのようなトラフィックの影響を救うという文脈で私たちが望んでいたものを許される可能性がある場合 - 私たちは何を望みますか?このセッションのトピックは、私たちが持っているものに依存し、私たちが本当に望むものに焦点を当てる制約を緩めることでした。

There certainly are lots of "wishes" around, not least of which is making things simpler and safer. On the other hand, very few of these wishes are clearly stated. One comment on this lack of clarity was that we are too busy putting out the fires of today and don't have the time to be thinking ahead.

確かに多くの「願い」がありますが、特に物事をよりシンプルで安全にしています。一方、これらの希望のほとんどは明確に述べられていません。この明確さの欠如に関するコメントの1つは、今日の火を消すのに忙しすぎて、先に考える時間がないということでした。

7.1. Security Improvements
7.1. セキュリティの改善

Operators at the workshop expressed a number of wishes that, if fulfilled, would help to improve and simplify security. The list below contains a number of examples of actions that ought to improve security. The content is still at the "wish-level", i.e., no effort has gone in to trying to understand the feasibility of realizing these wishes.

ワークショップのオペレーターは、充実した場合、セキュリティの改善と簡素化に役立つという多くの願いを表明しました。以下のリストには、セキュリティを改善する必要があるアクションの多くの例が含まれています。コンテンツはまだ「ウィッシュレベル」にあります。つまり、これらの願いを実現する可能性を理解しようとする努力はありません。

Wish: Reliable point of contact in each administrative domain for security coordination. First and foremost, operators would like to see correct and complete contact information to coordinate security problems across operators.

希望:セキュリティ調整のための各管理ドメインにおける信頼できる連絡先。何よりもまず、オペレーターは、オペレーター間のセキュリティの問題を調整するために、正しい連絡先情報を確認して完全に完全に確認したいと考えています。

The "whois" database of registration details for IP addresses and Autonomous System numbers held by Regional Internet Registries (e.g., ARIN, RIPE, APNIC) was intended to be a directory for this type of information, and RFC 2142 [RFC2142] established common mailbox names for certain roles and services. There are several reasons why these tools are largely unused, including unwanted traffic.

地域のインターネットレジストリ(ARIN、RIPE、APNICなど)が保有するIPアドレスと自律システム番号の登録詳細の「WHOIS」データベースは、このタイプの情報のディレクトリであることを目的としています。特定の役割とサービスの名前。これらのツールが不要なトラフィックを含む、これらのツールがほとんど使用されていない理由はいくつかあります。

Wish: Organized testing for security. Today, new hardware and software are extensively tested for performance. There is almost no testing of this hardware and software for security.

願い:セキュリティのための整理テスト。今日、新しいハードウェアとソフトウェアがパフォーマンスについて広範囲にテストされています。セキュリティのためのこのハードウェアとソフトウェアのテストはほとんどありません。

Wish: Infrastructure or test bed for security. It would be good to have an organized infrastructure or test bed for testing of security for new products.

希望:セキュリティのためのインフラストラクチャまたはテストベッド。新製品のセキュリティのテストのために、組織化されたインフラストラクチャまたはテストベッドを用意するのは良いことです。

Wish: Defaults for security. Equipment and software should come with a simple and effective default setting for security.

希望:セキュリティのデフォルト。機器とソフトウェアには、セキュリティ用のシンプルで効果的なデフォルト設定が付属する必要があります。

Wish: Shared information regarding attacks. It would be useful to have an automated sharing mechanism for attacks, vulnerabilities, and sources of threats between network users and providers in order to meet attacks in a more timely and efficient manner.

希望:攻撃に関する共有情報。よりタイムリーで効率的な方法で攻撃を満たすために、ネットワークユーザーとプロバイダー間の攻撃、脆弱性、および脅威のソースのための自動共有メカニズムを持つことは有用です。

7.2. Unwanted Traffic
7.2. 不要なトラフィック

Wish: Automatic filtering of unwanted traffic. It would be useful, not least for enterprises, to have mechanisms that would automatically filter out the unwanted traffic.

ウィッシュ:不要なトラフィックの自動フィルタリング。特に、企業にとって、不要なトラフィックを自動的に除外するメカニズムを持つことは有用です。

Some filtering of spam, viruses, and malware that is sent by email is already practicable but inevitably is imperfect because it mainly relies on "heuristics" to identify the unwanted traffic. This is another example of the "arms race" between filtering and the ingenuity of spammers trying to evade the filters. This "wish" needs to be further discussed and developed to make it something that could be turned into practical ideas.

電子メールで送信されるスパム、ウイルス、マルウェアの一部のフィルタリングはすでに実行可能ですが、不要なトラフィックを特定するために「ヒューリスティック」に依存しているため、必然的に不完全です。これは、フィルタリングとフィルターを回避しようとするスパマーの創意工夫との間の「武器競争」の別の例です。この「願い」は、実用的なアイデアに変えることができるものにするために、さらに議論および開発する必要があります。

Wish: Fix Spam. A large fraction of the email traffic coming into enterprises today is spam, and consequently any fixes to the spam problem are very high on their priority list.

願い:スパムを修正します。今日の企業に入っている電子メールトラフィックの大部分はスパムであり、その結果、スパム問題の修正は優先リストで非常に高くなります。

8. Workshop Summary
8. ワークショップの概要

The workshop spent its last two hours discussing the following question: What are the engineering (immediate and longer term) and research issues that might be pursued within the IETF and the IRTF, and what actions could the IAB take? The suggested actions can be summarized into three classes.

ワークショップは最後の2時間を費やし、次の質問について議論しました。IETFとIRTF内で追求される可能性のあるエンジニアリング(即時および長期)と研究の問題、およびIABはどのようなアクションをとることができますか?推奨されるアクションは、3つのクラスに要約できます。

8.1. Hard Questions
8.1. 難しい質問

The discussions during this concluding section raised a number of questions that touched upon the overall network architecture designs.

この最後のセクションでの議論は、ネットワークアーキテクチャの設計全体に触れる多くの質問を提起しました。

o What should be the roles of cryptographic mechanisms in the overall Internet architecture? For example, do we need to apply cryptographic mechanisms to harden the shell, or rely on deep packet inspection to filter out bad traffic?

o インターネットアーキテクチャ全体における暗号化メカニズムの役割は何ですか?たとえば、暗号化メカニズムを適用してシェルを強化するか、深いパケット検査に依存して悪いトラフィックを除外する必要がありますか?

o To add effective protection to the Internet, how far are we willing to go in

o インターネットに効果的な保護を追加するために、私たちはどこまで進んでいくことをいとわないか

* curtailing its openness, and

* その開放性を削減します

* increasing the system complexity?

* システムの複雑さを高めますか?

And what architectural principles do we need to preserve as we go along these paths?

そして、これらのパスに沿って進む際に、どのような建築原則を保存する必要がありますか?

o A simple risk analysis would suggest that an ideal attack target of minimal cost but maximal disruption is the core routing infrastructure. However, do we really need an unlinked and separately managed control plane to secure it? This requires a deep understanding of the architectural design trade-offs.

o 単純なリスク分析は、最小コストの最小化の理想的な攻撃目標がコアルーティングインフラストラクチャであることを示唆しています。しかし、それを保護するために、リンクされていない個別に管理されたコントロールプレーンが本当に必要ですか?これには、建築設計のトレードオフを深く理解する必要があります。

o Can we, and how do we, change the economic substructure? A special workshop was suggested as a next step to gain a better understanding of the question.

o 経済的下部構造をどのように変更できますか?質問をよりよく理解するための次のステップとして特別なワークショップが提案されました。

8.2. Medium or Long Term Steps
8.2. 中期または長期のステップ

While answering the above hard questions may take some time and effort, several specific steps were suggested as medium or long term efforts to add protection to the Internet:

上記の難しい質問に答えるには時間と労力がかかる場合がありますが、インターネットに保護を追加するための中期または長期的な努力としていくつかの具体的な手順が提案されました。

o Tightening the security of the core routing infrastructure.

o コアルーティングインフラストラクチャのセキュリティの締め付け。

o Cleaning up the Internet Routing Registry repository [IRR], and securing both the database and the access, so that it can be used for routing verifications.

o インターネットルーティングレジストリリポジトリ[IRR]をクリーンアップし、データベースとアクセスの両方を保護するため、ルーティングの検証に使用できます。

o Take down botnets.

o ボットネットを降ろします。

o Although we do not have a magic wand to wave all the unwanted traffic off the Internet, we should be able to develop effective measures to reduce the unwanted traffic to a tiny fraction of its current volume and keep it under control.

o インターネットから離れたすべての不要なトラフィックを振るための魔法の杖はありませんが、不要なトラフィックを現在のボリュームのごく一部に減らし、それを制御するための効果的な手段を開発できるはずです。

o Community education, to try to ensure people *use* updated host, router, and ingress filtering BCPs.

o コミュニティ教育、人々が *更新されたホスト、ルーター、およびイングレスフィルタリングBCPを確実に使用することを試みます。

8.3. Immediately Actionable Steps
8.3. すぐに実行可能な手順

The IETF is recommended to take steps to carry out the following actions towards enhancing the network protection.

IETFは、ネットワーク保護の強化に向けて次のアクションを実行するための措置を講じることをお勧めします。

o Update the host requirements RFC. The Internet host requirements ([RFC1122], [RFC1123]) were developed in 1989. The Internet has gone through fundamental changes since then, including the pervasive security threats. Thus, a new set of requirements is overdue.

o ホスト要件RFCを更新します。インターネットホストの要件([RFC1122]、[RFC1123])は1989年に開発されました。インターネットは、それ以来、広範なセキュリティの脅威を含む根本的な変化を経験しています。したがって、新しい一連の要件は期限切れです。

o Update the router requirements. The original router requirements [RFC1812] were developed in 1995. As with the host requirements, it is also overdue for an update.

o ルーター要件を更新します。元のルーター要件[RFC1812]は1995年に開発されました。ホストの要件と同様に、更新の期限が切れています。

o Update ingress filtering (BCP 38 [RFC2827] and BCP 84 [RFC3704]).

o イングレスフィルタリング(BCP 38 [RFC2827]およびBCP 84 [RFC3704])を更新します。

One immediate action that the IAB should carry out is to inform the community about the existence of the underground economy.

IABが実行すべき即時の措置の1つは、地域経済の存在についてコミュニティに知らせることです。

The IRTF is recommended to take further steps toward understanding the Underground Economy and to initiate research on developing effective countermeasures.

IRTFは、地下経済の理解に向けてさらなる措置を講じ、効果的な対策の開発に関する研究を開始することをお勧めします。

Overall, the workshop attendees wish to raise the community's awareness of the underground economy. The community as a whole should undertake a systematic examination of the current situation and develop both near- and long-term plans.

全体として、ワークショップの参加者は、地域経済に対するコミュニティの認識を高めたいと考えています。コミュニティ全体は、現在の状況の体系的な調査を行い、近くおよび長期の計画を開発する必要があります。

9. Terminology
9. 用語

This section gives an overview of some of the key concepts and terminology used in this document. It is not intended to be complete, but is offered as a quick reference for the reader of the report.

このセクションでは、このドキュメントで使用されている重要な概念と用語のいくつかの概要を説明します。それは完全であることを意図したものではなく、レポートの読者に迅速なリファレンスとして提供されます。

ACL Access Control List in the context of Internet networking refers to a set of IP addresses or routing prefixes (layer 3 or Internet layer information), possibly combined with transport protocol port numbers (layer 4 or transport layer information). The layer 3 and/or layer 4 information in the packets making up a flow entering or leaving a device in the Internet is matched against the entries in an ACL to determine whether the packets should, for example, be allowed or denied access to some resources. The ACL effectively specifies a filter to be used on a flow of packets.

ACLアクセス制御リストインターネットネットワーキングのコンテキストでは、IPアドレスまたはルーティングプレフィックスのセット(レイヤー3またはインターネットレイヤー情報)を指します。これは、輸送プロトコルポート番号(レイヤー4または輸送層情報)と組み合わせることです。インターネット内のデバイスの出入りの流れを構成するパケットのレイヤー3および/またはレイヤー4情報は、ACLのエントリと一致して、たとえば、一部のリソースへのアクセスを許可または拒否されるかどうかを判断するために。ACLは、パケットのフローで使用されるフィルターを効果的に指定します。

BGP route hijacking Attack in which an inappropriate route is injected into the global routing system with the intent of diverting traffic from its intended recipient either as a DoS attack (q.v.) where the traffic is just dropped or as part of some wider attack on the recipient. Injecting spurious routes specifying addresses used for bogons can, for example, provide bogus assurance to email systems that spam is coming from legitimate addresses.

BGPルートハイジャック攻撃では、不適切なルートがグローバルルーティングシステムに注入され、意図された受信者からトラフィックを迂回させることを目的として、DOS攻撃(q.v.)として、またはトラフィックがドロップされたか、レシピエントに対する広い攻撃の一部として。たとえば、ボゴンに使用されるアドレスを指定するスプリアスルートを注入すると、スパムが正当なアドレスから来ているシステムに偽の保証を提供できます。

Bogon A bogon is an IP packet that has a source address taken for a range of addresses that has not yet been allocated to legitimate users, or is a private [RFC1918] or reserved address [RFC3330].

Bogon a Bogonは、正当なユーザーにまだ割り当てられていない、またはプライベート[RFC1918]または予約アドレス[RFC3330]であるさまざまなアドレスに撮影されたソースアドレスを備えたIPパケットです。

Bogon prefix A bogon prefix is a route that should never appear in the Internet routing table, e.g., from the private or unallocated address blocks.

ボゴンプレフィックスボゴンプレフィックスは、プライベートまたは未割り当てのアドレスブロックから、インターネットルーティングテーブルに表示されないルートです。

Bot A bot is common parlance on the Internet for a software program that is a software agent. A Bot interacts with other network services intended for people as if it were a real person. One typical use of bots is to gather information. The term is derived from the word "robot," reflecting the autonomous character in the "virtual robot"- ness of the concept. The most common bots are those that covertly install themselves on people's computers for malicious purposes, and that have been described as remote attack tools. Bots are sometimes called "zombies".

ボットボットは、ソフトウェアエージェントであるソフトウェアプログラムのインターネット上の一般的な用語です。ボットは、まるで実際の人物であるかのように人々を対象とした他のネットワークサービスと対話します。ボットの典型的な使用の1つは、情報を収集することです。この用語は「ロボット」という言葉から派生しており、「仮想ロボット」の自律的なキャラクター - コンセプトのネスを反映しています。最も一般的なボットは、悪意のある目的のために人々のコンピューターにひどくインストールされたボットであり、リモート攻撃ツールとして説明されているボットです。ボットは「ゾンビ」と呼ばれることもあります。

Botnet Botnet is a jargon term for a collection of software robots, or bots, which run autonomously. This can also refer to the network of computers using distributed computing software. While the term "botnet" can be used to refer to any group of bots, such as IRC bots, the word is generally used to refer to a collection of compromised machines running programs, usually referred to as worms, Trojan horses, or backdoors, under a common command and control infrastructure.

Botnet Botnetは、自律的に実行されるソフトウェアロボットまたはボットのコレクションの専門用語です。これは、分散コンピューティングソフトウェアを使用してコンピューターのネットワークを参照することもできます。「ボットネット」という用語は、IRCボットなどのボットのグループを参照するために使用できますが、通常、ワーム、トロイの木馬、またはバックドアと呼ばれる侵害されたマシンを実行しているプログラムのコレクションを参照するために単語は使用されます。共通のコマンドおよび制御インフラストラクチャの下で。

Click fraud Click fraud occurs in pay per click (PPC) advertising when a person, automated script, or computer program imitates a legitimate user of a web browser clicking on an ad for the purpose of generating an improper charge per click. Pay per click advertising is when operators of web sites act as publishers and offer clickable links from advertisers in exchange for a charge per click.

[詐欺]クリッククリック詐欺は、クリックごとに、自動化されたスクリプト、またはコンピュータープログラムが、クリックごとに不適切な充電を生成する目的で広告をクリックするWebブラウザの正当なユーザーを模倣するときに、[Pay Per Click(PPC)広告で発生します。[1回のクリックごとの広告は、Webサイトのオペレーターがパブリッシャーとして行動し、クリックあたりの請求と引き換えに広告主からクリック可能なリンクを提供する場合です。

Darknet A Darknet (also known as a Network Telescope, a Blackhole, or an Internet Sink) is a globally routed network that has no "real" machines attached and carries only a very small amount of specially crafted legitimate traffic. It is therefore easily possible to separate out and analyze unwanted traffic that can arise from a wide variety of events including misconfiguration (e.g., a human being mis-typing an IP address), malicious scanning of address space by hackers looking for vulnerable targets, backscatter from random source denial-of-service attacks, and the automated spread of malicious software called Internet worms.

Darknet(ネットワーク望遠鏡、ブラックホール、またはインターネットシンクとも呼ばれる)は、「実際の」マシンが添付されておらず、非常に少量の特別に作成された正当なトラフィックのみを搭載したグローバルにルーティングされたネットワークです。したがって、誤った構成(例えば、人間がIPアドレスを誤って訪問する人間)、脆弱なターゲットを探しているハッカーによる住所スペースの悪意のあるスキャン、バックスカターなど、さまざまなイベントから生じる可能性のある不要なトラフィックを分離して分析することが簡単に可能です。ランダムソースのサービス拒否攻撃、およびインターネットワームと呼ばれる悪意のあるソフトウェアの自動化された拡散から。

Dirty affiliate program Affiliate programs are distributed marketing programs that recruit agents to promote a product or service. Affiliates get financially compensated for each sale associated with their unique 'affiliate ID.' Affiliates are normally instructed by the operator of the affiliate program to not break any laws while promoting the product or service. Sanctions (typically loss of unpaid commissions or removal from the affiliate program) are normally applied if the affiliate spams or otherwise violates the affiliate program's policies.

Dirty Affiliateプログラムのアフィリエイトプログラムは、製品またはサービスを促進するためにエージェントを募集する分散マーケティングプログラムです。関連会社は、独自の「アフィリエイトID」に関連する各販売に対して財政的に補償されます。アフィリエイトは通常、アフィリエイトプログラムのオペレーターから、製品やサービスを宣伝しながら法律を破らないように指示されます。アフィリエイトがスパムまたはそうでなければアフィリエイトプログラムのポリシーに違反している場合、制裁(通常、未払いのコミッションの喪失またはアフィリエイトプログラムからの除去)が適用されます。

Dirty affiliate programs allow spamming, or if they do nominally prohibit spamming, they don't actually sanction violators. Dirty affiliate programs often promote illegal or deceptive products (prescription drugs distributed without regard to normal dispensing requirements, body part enlargement products, etc.), employ anonymous or untraceable affiliates, offer payment via anonymous online financial channels, and may fail to follow normal tax withholding and reporting practices.

汚いアフィリエイトプログラムにより、スパムが許可されているか、名目上スパムを禁止している場合、実際に違反者を制裁しません。汚いアフィリエイトプログラムは、多くの場合、違法または欺ceptive製品(通常の調剤要件、ボディパーツの拡大製品などに関係なく配布される処方薬)を促進し、匿名または追跡不能な関連会社を採用し、匿名のオンライン金融チャネルを介して支払いを提供し、通常の税に従わない場合があります源泉徴収と報告慣行。

DoS attack Denial-Of-Service attack, a type of attack on a network that is designed to bring the network to its knees by flooding it with useless traffic or otherwise blocking resources necessary to allow normal traffic flow.

DOSは、サービスの拒否攻撃を攻撃します。これは、ネットワークへの攻撃の一種で、ネットワークを膝に浸し、役に立たないトラフィックを浸水させたり、通常のトラフィックの流れを可能にするために必要なリソースをブロックしたりするように設計されています。

DDoS attack Distributed Denial of Service, an attack where multiple compromised systems are used to target a single system causing a Denial of Service (DoS) attack.

DDOS攻撃分散サービスの拒否、複数の侵害されたシステムを使用して単一のシステムをターゲットにして、サービス拒否(DOS)攻撃を引き起こす攻撃。

Honey farm A honey farm is a set of honey pots working together.

ハニーファームハニーファームは、一緒に働くハニーポットのセットです。

Honey monkey A honey monkey is a honey pot in reverse; instead of sitting and waiting for miscreants, a honey monkey actively mimics the actions of a user surfing the Web. The honey monkey runs on virtual machines in order to detect exploit sites.

ハニーモンキーハニーモンキーは逆のハニーポットです。蜂蜜の猿は、座って悪党を待つ代わりに、ウェブをサーフィンするユーザーの行動を積極的に模倣しています。ハニーモンキーは、エクスプロイトサイトを検出するために仮想マシンで実行されます。

Honey pot A honey pot is a server attached to the Internet that acts as a decoy, attracting potential miscreants in order to study their activities and monitor how they are able to break into a system. Honeypots are designed to mimic systems that an intruder would like to break into but limit the intruder from having access to an entire network.

Honey Pot a Honey Potは、デコイとして機能するインターネットに接続されたサーバーであり、アクティビティを研究し、システムに侵入する方法を監視するために、潜在的な悪党を引き付けます。ハニーポットは、侵入者が侵入したいシステムを模倣するように設計されていますが、侵入者がネットワーク全体にアクセスするのを制限します。

IRC Internet Relay Chat is a form of instant communication over the Internet. It is mainly designed for group (many-to-many) communication in discussion forums called channels, but also allows one-to-one communication, originally standardized by RFC 1459 [RFC1459] but much improved and extended since its original invention. IRC clients rendezvous and exchange messages through IRC servers. IRC servers are run by many organizations for both benign and nefarious purposes.

IRCインターネットリレーチャットは、インターネット上の即時通信の一種です。これは主に、チャネルと呼ばれるディスカッションフォーラムでのグループ(多くの)コミュニケーション向けに設計されていますが、もともとRFC 1459 [RFC1459]によって標準化された1対1のコミュニケーションも可能になりますが、元の発明以来、大幅に改善され、拡張されました。IRCクライアントは、IRCサーバーを介してメッセージをランデブーと交換します。IRCサーバーは、良性と悪意のある目的のために多くの組織によって運営されています。

Malware Malware is software designed to infiltrate or damage a computer system, without the owner's informed consent. There are disagreements about the etymology of the term itself, the primary uncertainty being whether it is a portmanteau word (of "malicious" and "software") or simply composed of the prefix "mal-" and the morpheme "ware". Malware references the intent of the creator, rather than any particular features. It includes computer viruses, worms, Trojan horses, spyware, adware, and other malicious and unwanted software. In law, malware is sometimes known as a computer contaminant.

マルウェアマルウェアは、所有者のインフォームドコンセントなしで、コンピューターシステムに潜入または損傷するように設計されたソフトウェアです。用語自体の語源については意見の相違があり、主な不確実性は、それがポートマントー語(「悪意のある」と「ソフトウェア」の)であるか、単にプレフィックス「mal-」と形態素「ウェア」で構成されているのかです。マルウェアは、特定の機能ではなく、作成者の意図を参照します。これには、コンピューターウイルス、ワーム、トロイの木馬、スパイウェア、アドウェア、その他の悪意のある不要なソフトウェアが含まれています。法律では、マルウェアはコンピューターの汚染物質として知られていることがあります。

Mix networks Mix networks create hard-to-trace communications by using a chain of proxy servers [MIX]. Each message is encrypted to each proxy; the resulting encryption is layered like a Russian doll with the message as the innermost layer. Even if all but one of the proxies are compromised by a tracer, untraceability is still achieved. More information can be found at <http://www.adastral.ucl.ac.uk/~helger/crypto/link/protocols/ mix.php>.

ミックスネットワークミックスネットワークは、プロキシサーバーのチェーン[ミックス]を使用して、困難な通信を作成します。各メッセージは各プロキシに暗号化されます。結果の暗号化は、メッセージを最も内側の層として、ロシアの人形のように階層化されています。プロキシの1つを除くすべてがトレーサーによって損なわれている場合でも、不安定性がまだ達成されています。詳細については、<http://www.adastral.ucl.ac.uk/~helger/crypto/link/protocols/ mix.php>をご覧ください。

Onion routing Onion routing is a technique for anonymous communication over a computer network, it is a technique that encodes routing information in a set of encrypted layers. Onion routing is based on mix cascades (see mix networks (q.v.)). More information can be found at <http://www.onion-router.net/>.

オニオンルーティングオニオンルーティングは、コンピューターネットワーク上の匿名通信の手法であり、暗号化されたレイヤーのセットでルーティング情報をエンコードする手法です。オニオンルーティングは、ミックスカスケードに基づいています(ミックスネットワーク(q.v.)を参照)。詳細については、<http://www.onion-router.net/>をご覧ください。

Phishing Phishing is a form of criminal activity using social engineering techniques. It is characterized by attempts to fraudulently acquire sensitive information, such as passwords and credit card details, by masquerading as a trustworthy person or business in an apparently official electronic communication. Phishing is typically carried out using spoofed websites, email, or an instant message. The term phishing derives from password harvesting and the use of increasingly sophisticated lures to "fish" for users' financial information and passwords.

フィッシングフィッシングは、ソーシャルエンジニアリング技術を使用した犯罪活動の一種です。パスワードやクレジットカードの詳細などの機密情報を不正に取得しようとする試みが、明らかに公式の電子通信において信頼できる人またはビジネスを装ったことによって特徴付けられます。通常、フィッシングは、スプーフィングされたWebサイト、電子メール、またはインスタントメッセージを使用して実行されます。フィッシングという用語は、パスワードの収穫と、ユーザーの財務情報とパスワードのために「魚」にますます洗練されたルアーの使用に由来しています。

Root access Access to a system with full administrative privileges bypassing any security restrictions placed on normal users. Derived from the name traditionally used for the 'superuser' on Unix systems.

通常のユーザーに配置されたセキュリティ制限をバイパスする完全な管理特権を持つシステムへのルートアクセス。UNIXシステムの「スーパーユーザー」に伝統的に使用されている名前から派生しました。

Script kiddy Derogatory term for an inexperienced hacker who mindlessly uses scripts and other programs developed by others with the intent of compromising computers or generating DoS attacks.

スクリプトキディの軽rog的な用語は、コンピューターを妥協したり、DOS攻撃を生成することを目的として他の人によって開発されたスクリプトやその他のプログラムを無意識に使用している経験の浅いハッカーのためです。

Spam Spamming is the abuse of electronic messaging systems to send unsolicited, undesired bulk messages. The individual messages are refereed to as spam. The term is frequently used to refer specifically to the electronic mail form of spam.

スパムスパムは、未承諾の望ましくないバルクメッセージを送信する電子メッセージングシステムの乱用です。個々のメッセージはスパムとして審判されます。この用語は、スパムの電子メールフォームに特に言及するために頻繁に使用されます。

Spoofing (IP) spoofing is a technique where the illegitimate source of IP packets is obfuscated by contriving to use IP address(es) that the receiver recognizes as a legitimate source. Spoofing is often used to gain unauthorized access to computers or mislead filtering mechanisms, whereby the intruder sends packets into the network with an IP source address indicating that the message is coming from a legitimate host. To engage in IP spoofing, a hacker must first use a variety of techniques to find an IP address of a valid host and then modify the packet headers so that it appears that the packets are coming from that host.

スプーフィング(IP)スプーフィングは、受信者が正当なソースとして認識するIPアドレスを使用することを促進することにより、IPパケットの違法なソースが難読化される手法です。スプーフィングは、コンピューターへの不正アクセスを獲得したり、フィルタリングメカニズムを誤解させたりするためによく使用されます。これにより、侵入者は、メッセージが正当なホストからのものであることを示すIPソースアドレスでネットワークにパケットを送信します。IPスプーフィングに従事するには、ハッカーはまずさまざまなテクニックを使用して有効なホストのIPアドレスを見つけ、次にパケットヘッダーを変更して、パケットがそのホストから来ているように見える必要があります。

Spyware Any software that covertly gathers user information through the user's Internet connection without his or her knowledge, e.g., for spam purposes.

スパイウェアは、スパムの目的で、知識なしにユーザーのインターネット接続を通じてユーザー情報をひそかに収集するソフトウェア。

UBE Unsolicited Bulk Email: an official term for spam.

UBE UNTALITITED BULK EMALE:スパムの公式用語。

UCE Unsolicited Commercial Email: an official term for spam.

UCE UNTALITITITEDコマーシャルメール:スパムの公式用語。

Virus A program or piece of code that is loaded onto a computer without the owner's knowledge and runs without their consent. A virus is self-replicating code that spreads by inserting copies of itself into other executable code or documents, which are then transferred to other machines. Typically, the virus has a payload that causes some harm to the infected machine when the virus code is executed.

ウイルス所有者の知識なしにコンピューターにロードされ、同意なしに実行されるプログラムまたはコードの一部。ウイルスは、それ自体のコピーを他の実行可能コードまたはドキュメントに挿入することによって広がる自己複製コードであり、それが他のマシンに転送されます。通常、ウイルスには、ウイルスコードが実行されたときに感染した機械に何らかの害を及ぼすペイロードがあります。

Worm A computer worm is a self-replicating computer program. It uses a network to send copies of itself to other systems and it may do so without any user intervention. Unlike a virus, it does not need to attach itself to an existing program. Worms always harm the network (if only by consuming bandwidth), whereas viruses always infect or corrupt files on a targeted computer.

ワームコンピューターワームは、自己複製コンピュータープログラムです。ネットワークを使用して自分自身のコピーを他のシステムに送信し、ユーザーの介入なしにそうすることができます。ウイルスとは異なり、既存のプログラムに自分自身を付ける必要はありません。ワームは常にネットワークに害を及ぼします(帯域幅を消費することによってのみ)が、ウイルスは常にターゲットを絞ったコンピューターにファイルに感染または破損しています。

Zombie This is another name for a bot.

ゾンビこれはボットの別名です。

10. Security Considerations
10. セキュリティに関する考慮事項

This document does not specify any protocol or "bits on the wire".

このドキュメントでは、プロトコルまたは「ワイヤー上のビット」を指定しません。

11. Acknowledgements
11. 謝辞

The IAB would like to thank the University of Southern California Information Sciences Institute (ISI) who hosted the workshop and all those people at ISI and elsewhere who assisted with the organization and logistics of the workshop at ISI.

IABは、ワークショップを開催した南カリフォルニア大学情報科学研究所(ISI)と、ISIのワークショップの組織とロジスティクスを支援したISIおよび他の場所のすべての人々に感謝したいと思います。

The IAB would also like to thank the scribes listed in Appendix A who diligently recorded the proceedings during the workshop.

IABはまた、ワークショップ中に訴訟を熱心に記録した付録Aにリストされている筆記者に感謝したいと思います。

A special thanks to all the participants in the workshop, who took the time, came to the workshop to participate in the discussions, and who put in the effort to make this workshop a success. The IAB especially appreciates the effort of those that prepared and made presentations at the workshop.

時間をかけたワークショップのすべての参加者に特に感謝します。ワークショップに来て、議論に参加し、このワークショップを成功させる努力をしました。IABは、ワークショップでプレゼンテーションを準備して作った人々の努力を特に感謝しています。

12. Informative References
12. 参考引用

[IMS] University of Michigan, "Internet Motion Sensor", 2006, <http://ims.eecs.umich.edu/>.

[IMS]ミシガン大学、「インターネットモーションセンサー」、2006年、<http://ims.eecs.umich.edu/>。

[IRR] Merit Network Inc, "Internet Routing Registry Routing Assets Database", 2006, <http://www.irr.net/>.

[IRR] Merit Network Inc、「インターネットルーティングレジストリルーティングアセットデータベース」、2006、<http://www.irr.net/>。

[MIX] Hill, R., Hwang, A., and D. Molnar, "Approaches to Mix Nets", MIT 6.857 Final Project, December 1999, <http:// www.mit.edu/afs/athena/course/6/6.857/OldStuff/Fall99/ papers/mixnet.ps.gz>.

[ミックス]ヒル、R.、ファン、A。、およびD.モルナー、「ネットへのアプローチ」、MIT 6.857最終プロジェクト、1999年12月、<http:// www.mit.edu/afs/athena/course/6/6.857/oldstuff/fall99/papers/mixnet.ps.gz>。

[RFC1122] Braden, R., "Requirements for Internet Hosts - Communication Layers", STD 3, RFC 1122, October 1989.

[RFC1122] Braden、R。、「インターネットホストの要件 - 通信レイヤー」、STD 3、RFC 1122、1989年10月。

[RFC1123] Braden, R., "Requirements for Internet Hosts - Application and Support", STD 3, RFC 1123, October 1989.

[RFC1123] Braden、R。、「インターネットホストの要件 - アプリケーションとサポート」、STD 3、RFC 1123、1989年10月。

[RFC1459] Oikarinen, J. and D. Reed, "Internet Relay Chat Protocol", RFC 1459, May 1993.

[RFC1459] Oikarinen、J。およびD. Reed、「Internet Relay Chat Protocol」、RFC 1459、1993年5月。

[RFC1812] Baker, F., "Requirements for IP Version 4 Routers", RFC 1812, June 1995.

[RFC1812] Baker、F。、「IPバージョン4ルーターの要件」、RFC 1812、1995年6月。

[RFC1918] Rekhter, Y., Moskowitz, R., Karrenberg, D., Groot, G., and E. Lear, "Address Allocation for Private Internets", BCP 5, RFC 1918, February 1996.

[RFC1918] Rekhter、Y.、Moskowitz、R.、Karrenberg、D.、Groot、G。、およびE. Lear、「Private Internetsのアドレス割り当て」、BCP 5、RFC 1918、1996年2月。

[RFC2142] Crocker, D., "MAILBOX NAMES FOR COMMON SERVICES, ROLES AND FUNCTIONS", RFC 2142, May 1997.

[RFC2142] Crocker、D。、「一般的なサービス、役割、機能のメールボックス名」、RFC 2142、1997年5月。

[RFC2827] Ferguson, P. and D. Senie, "Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing", BCP 38, RFC 2827, May 2000.

[RFC2827] Ferguson、P。およびD. Senie、「ネットワークイングレスフィルタリング:IPソースアドレススプーフィングを採用するサービス拒否攻撃の敗北」、BCP 38、RFC 2827、2000年5月。

[RFC3330] IANA, "Special-Use IPv4 Addresses", RFC 3330, September 2002.

[RFC3330] IANA、「特別使用IPv4アドレス」、RFC 3330、2002年9月。

[RFC3704] Baker, F. and P. Savola, "Ingress Filtering for Multihomed Networks", BCP 84, RFC 3704, March 2004.

[RFC3704] Baker、F。およびP. Savola、「マルチホームネットワークのイングレスフィルタリング」、BCP 84、RFC 3704、2004年3月。

[SHRED] Krishnamurthy, B. and E. Blackmond, "SHRED: Spam Harassment Reduction via Economic Disincentives", 2003, <http://www.research.att.com/~bala/papers/shred-ext.ps>.

[シュレッド] Krishnamurthy、B。and E. Blackmond、「Shred:Spam Harassment Remution by Economic Disincentives」、2003、<http://www.research.att.com/~bala/papers/shred-ext.ps>。

Appendix A. Participants in the Workshop
付録A. ワークショップの参加者

Bernard Aboba (IAB) Loa Andersson (IAB) Ganesha Bhaskara (scribe) Bryan Burns Leslie Daigle (IAB chair) Sean Donelan Rich Draves (IAB Executive Director) Aaron Falk (IAB, IRTF chair) Robert Geigle Minas Gjoka (scribe) Barry Greene Sam Hartman (IESG, Security Area Director) Bob Hinden (IAB) Russ Housely (IESG, Security Area Director) Craig Huegen Cullen Jennings Rodney Joffe Mark Kosters Bala Krishnamurthy Gregory Lebovitz Ryan McDowell Danny McPherson Dave Merrill David Meyer (IAB) Alan Mitchell John Morris Eric Osterweil (scribe) Eric Rescorla (IAB) Pete Resnick (IAB) Stefan Savage Joe St Sauver Michael Sirivianos (scribe) Rob Thomas Helen Wang Lixia Zhang (IAB)

バーナード・アボバ(IAB)ロア・アンダーソン(IAB)ガネーシャ・バスカラ(スクリブ)ハートマン(IESG、セキュリティエリアディレクター)ボブ・ヒンデン(IAB)Russ Housely(IESG、セキュリティエリアディレクター)Craig Huegen Cullen Jennings Rodney Joffe Mark Kosters Bala Krishnamurthy Gregory Lebovitz Ryan McDowell Dave Dave David MeyerOsterweil(Scribe)Eric Rescorla(IAB)Pete Resnick(IAB)Stefan Savage Joe St Sauver Michael Sirivianos(Scribe)Rob Thomas Helen Wang Lixia Zhang(IAB)

Appendix B. Workshop Agenda
付録B. ワークショップのアジェンダ

Session 1: How bad is the problem? What are the most important symptoms?

セッション1:問題はどれくらい悪いですか?最も重要な症状は何ですか?

Session 2: What are the sources of the problem?

セッション2:問題の情報源は何ですか?

Lunch session (session 3): Solutions in regulatory and societal space

昼食会(セッション3):規制および社会空間の解決策

Session 4: The underground economy

セッション4:地下経済

Session 5: Current countermeasures, what works, what doesn't

セッション5:現在の対策、何が機能するか、何が機能しないか

Session 6: If all our wishes could be granted, what would they be?

セッション6:私たちのすべての願いが与えられることができれば、それらは何でしょうか?

Session 7: What's in the pipeline, or should be in the pipeline

セッション7:パイプラインには何ですか、またはパイプラインにあるはずです

Session 8: What is being actively researched on?

セッション8:積極的に調査されているものは何ですか?

Session 9: What are the engineering (immediate and longer term) and research issues that might be pursued within the IETF/IAB/IRTF?

セッション9:IETF/IAB/IRTF内で追求される可能性のあるエンジニアリング(直接および長期)と研究の問題は何ですか?

Appendix C. Slides
付録C. スライド

Links to a subset of the presentations given by the participants at the workshop can be found via the IAB Workshops page on the IAB web site at <http://utgard.ietf.org/iab/about/workshops/unwantedtraffic/ index.html>. As mentioned in Section 1, this is not a complete set of the presentations because certain of the presentations were of a sensitive nature which it would be inappropriate to make public at this time.

ワークショップで参加者が提供するプレゼンテーションのサブセットへのリンクは、IABワークショップページのIAB Webサイトのページ<http://utgard.ietf.org/iab/about/workshops/unwantedtraffic/ index.htmlから見つけることができます。>。セクション1で述べたように、これはプレゼンテーションの完全なセットではありません。なぜなら、プレゼンテーションの特定は、現時点で公開することは不適切である繊細な性質のものであるからです。

Authors' Addresses

著者のアドレス

Loa Andersson Acreo AB

Loa Andersson Acreo AB

   EMail: loa@pi.se
        

Elwyn Davies Folly Consulting

Elwyn Davies Folly Consulting

   EMail: elwynd@dial.pipex.com
        

Lixia Zhang UCLA

Lixia Zhang UCLA

   EMail: lixia@cs.ucla.edu
        

Full Copyright Statement

完全な著作権声明

Copyright (C) The IETF Trust (2007).

著作権(c)The IETF Trust(2007)。

This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.

この文書は、BCP 78に含まれる権利、ライセンス、および制限の対象となり、そこに記載されている場合を除き、著者はすべての権利を保持しています。

This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY, THE IETF TRUST AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.

このドキュメントとここに含まれる情報は、「現状のまま」に基づいて提供され、貢献者、彼/彼女が代表する組織(もしあれば)、インターネット協会、IETFトラスト、インターネットエンジニアリングタスクフォースがすべてを否認します。明示的または黙示的な保証。ここでの情報の使用は、特定の目的に対する商品性または適合性の権利または暗黙の保証を侵害しないという保証を含むがこれらに限定されない。

Intellectual Property

知的財産

The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.

IETFは、知的財産権またはその他の権利の有効性または範囲に関して、本書に記載されている技術の実装または使用、またはそのような権利に基づくライセンスに基づくライセンスの範囲に関連すると主張される可能性のある他の権利に関しては、立場を取得しません。利用可能になります。また、そのような権利を特定するために独立した努力をしたことも表明していません。RFCドキュメントの権利に関する手順に関する情報は、BCP 78およびBCP 79に記載されています。

Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.

IETF事務局に行われたIPR開示のコピーと、利用可能にするライセンスの保証、またはこの仕様の実装者またはユーザーによるそのような独自の権利の使用のための一般的なライセンスまたは許可を取得するための試みの結果を取得できます。http://www.ietf.org/iprのIETFオンラインIPRリポジトリから。

The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.

IETFは、関心のある当事者に、著作権、特許、または特許出願、またはこの基準を実装するために必要な技術をカバーする可能性のあるその他の独自の権利を注意深く招待するよう招待しています。ietf-ipr@ietf.orgのIETFへの情報をお問い合わせください。

Acknowledgement

謝辞

Funding for the RFC Editor function is currently provided by the Internet Society.

RFCエディター機能の資金は現在、インターネット協会によって提供されています。