Network Working Group L. Andersson
Request for Comments: 4948 Acreo AB
Category: Informational E. Davies
Folly Consulting
L. Zhang
UCLA
August 2007
Report from the IAB workshop on Unwanted Traffic March 9-10, 2006
不要なトラフィック月9-10、2006年IABワークショップからのレポート
Status of This Memo
このメモのステータス
This memo provides information for the Internet community. It does not specify an Internet standard of any kind. Distribution of this memo is unlimited.
このメモはインターネットコミュニティのための情報を提供します。それはどんな種類のインターネット標準を指定しません。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The IETF Trust (2007).
著作権(C)IETFトラスト(2007)。
Abstract
抽象
This document reports the outcome of a workshop held by the Internet Architecture Board (IAB) on Unwanted Internet Traffic. The workshop was held on March 9-10, 2006 at USC/ISI in Marina del Rey, CA, USA. The primary goal of the workshop was to foster interchange between the operator, standards, and research communities on the topic of unwanted traffic, as manifested in, for example, Distributed Denial of Service (DDoS) attacks, spam, and phishing, to gain understandings on the ultimate sources of these unwanted traffic, and to assess their impact and the effectiveness of existing solutions. It was also a goal of the workshop to identify engineering and research topics that could be undertaken by the IAB, the IETF, the IRTF, and the network research and development community at large to develop effective countermeasures against the unwanted traffic.
この文書では、不要なインターネットトラフィックにインターネットアーキテクチャ委員会(IAB)で開催されたワークショップの結果を報告します。ワークショップは、マリナ・デル・レイ、CA、USAにUSC / ISIで月9-10、2006年に開催されました。ワークショップの主な目的は、理解を得るために、中に現れ、例えば、分散型サービス拒否(DDoS攻撃)攻撃、スパム、フィッシングなど、不要なトラフィックの話題にオペレータ、規格、および研究コミュニティ間の交流を促進することでしたこれらの不要なトラフィックの究極の源であり、その影響や既存のソリューションの有効性を評価します。不要なトラフィックに対する効果的な対策を開発するために広くIAB、IETF、IRTF、およびネットワークの研究開発コミュニティに着手することができ、エンジニアリング、研究トピックを識別するためにも、ワークショップの目標でした。
Table of Contents
目次
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . 3
2. The Root of All Evils: An Underground Economy . . . . . . . . 4
2.1. The Underground Economy . . . . . . . . . . . . . . . . . 5
2.2. Our Enemy Using Our Networks, Our Tools . . . . . . . . . 6
2.3. Compromised Systems Being a Major Source of Problems . . . 7
2.4. Lack of Meaningful Deterrence . . . . . . . . . . . . . . 8
2.5. Consequences . . . . . . . . . . . . . . . . . . . . . . . 10
3. How Bad Is The Problem? . . . . . . . . . . . . . . . . . . . 10
3.1. Backbone Providers . . . . . . . . . . . . . . . . . . . . 10
3.1.1. DDoS Traffic . . . . . . . . . . . . . . . . . . . . . 10
3.1.2. Problem Mitigation . . . . . . . . . . . . . . . . . . 11
3.2. Access Providers . . . . . . . . . . . . . . . . . . . . . 12
3.3. Enterprise Networks: Perspective from a Large
Enterprise . . . . . . . . . . . . . . . . . . . . . . . . 13
3.4. Domain Name Services . . . . . . . . . . . . . . . . . . . 14
4. Current Vulnerabilities and Existing Solutions . . . . . . . . 15
4.1. Internet Vulnerabilities . . . . . . . . . . . . . . . . . 15
4.2. Existing Solutions . . . . . . . . . . . . . . . . . . . . 16
4.2.1. Existing Solutions for Backbone Providers . . . . . . 16
4.2.2. Existing Solutions for Enterprise Networks . . . . . . 17
4.3. Shortfalls in the Existing Network Protection . . . . . . 18
4.3.1. Inadequate Tools . . . . . . . . . . . . . . . . . . . 18
4.3.2. Inadequate Deployments . . . . . . . . . . . . . . . . 18
4.3.3. Inadequate Education . . . . . . . . . . . . . . . . . 19
4.3.4. Is Closing Down Open Internet Access Necessary? . . . 19
5. Active and Potential Solutions in the Pipeline . . . . . . . . 20
5.1. Central Policy Repository . . . . . . . . . . . . . . . . 20
5.2. Flow Based Tools . . . . . . . . . . . . . . . . . . . . . 21
5.3. Internet Motion Sensor (IMS) . . . . . . . . . . . . . . . 21
5.4. BCP 38 . . . . . . . . . . . . . . . . . . . . . . . . . . 22
5.5. Layer 5 to 7 Awareness . . . . . . . . . . . . . . . . . . 22
5.6. How To's . . . . . . . . . . . . . . . . . . . . . . . . . 22
5.7. SHRED . . . . . . . . . . . . . . . . . . . . . . . . . . 23
6. Research in Progress . . . . . . . . . . . . . . . . . . . . . 23
6.1. Ongoing Research . . . . . . . . . . . . . . . . . . . . . 23
6.1.1. Exploited Hosts . . . . . . . . . . . . . . . . . . . 23
6.1.2. Distributed Denial of Service (DDoS) Attacks . . . . . 25
6.1.3. Spyware . . . . . . . . . . . . . . . . . . . . . . . 26
6.1.4. Forensic Aids . . . . . . . . . . . . . . . . . . . . 26
6.1.5. Measurements . . . . . . . . . . . . . . . . . . . . . 27
6.1.6. Traffic Analysis . . . . . . . . . . . . . . . . . . . 27
6.1.7. Protocol and Software Security . . . . . . . . . . . . 27
6.2. Research on the Internet . . . . . . . . . . . . . . . . . 27
6.2.1. Research and Standards . . . . . . . . . . . . . . . . 28
6.2.2. Research and the Bad Guys . . . . . . . . . . . . . . 29
7. Aladdin's Lamp . . . . . . . . . . . . . . . . . . . . . . . . 30
7.1. Security Improvements . . . . . . . . . . . . . . . . . . 30
7.2. Unwanted Traffic . . . . . . . . . . . . . . . . . . . . . 31
8. Workshop Summary . . . . . . . . . . . . . . . . . . . . . . . 31
8.1. Hard Questions . . . . . . . . . . . . . . . . . . . . . . 31
8.2. Medium or Long Term Steps . . . . . . . . . . . . . . . . 32
8.3. Immediately Actionable Steps . . . . . . . . . . . . . . . 33
9. Terminology . . . . . . . . . . . . . . . . . . . . . . . . . 33
10. Security Considerations . . . . . . . . . . . . . . . . . . . 38
11. Acknowledgements . . . . . . . . . . . . . . . . . . . . . . . 38
12. Informative References . . . . . . . . . . . . . . . . . . . . 39
Appendix A. Participants in the Workshop . . . . . . . . . . . . 40
Appendix B. Workshop Agenda . . . . . . . . . . . . . . . . . . . 41
Appendix C. Slides . . . . . . . . . . . . . . . . . . . . . . . 41
The Internet carries a lot of unwanted traffic today. To gain a better understanding of the driving forces behind such unwanted traffic and to assess existing countermeasures, the IAB organized an "Unwanted Internet Traffic" workshop and invited experts on different aspects of unwanted traffic from operator, vendor, and research communities to the workshop. The intention was to share information among people from different fields and organizations, fostering an interchange of experiences, views, and ideas between the various communities on this important topic. The major goal of this workshop was to stimulate discussion at a deep technical level to assess today's situation in regards to:
インターネットは今日、不要なトラフィックの多くを運びます。不要なトラフィック原動力のよりよい理解を得るために、既存の対策を評価するために、IABは、「不要なインターネットトラフィック」ワークショップを開催し、ワークショップにオペレータ、ベンダー、および研究コミュニティからの不要なトラフィックのさまざまな側面に関する専門家を招待しました。その意図は、この重要なトピックに様々なコミュニティの間での経験、意見、アイデアの交換を促進、異なる分野や組織からの人々の間で情報を共有することでした。このワークショップの主な目標は、との点で、今日の状況を評価するために、深い技術的なレベルでの議論を刺激することでした。
o the kinds of unwanted traffic that are seen on the Internet,
インターネット上で見られる不要なトラフィックの種類のO、
o how bad the picture looks,
Oどのように悪い絵が見えます、
o who and where are the major sources of the problem,
O誰とどこが問題の主要な源です、
o which solutions work and which do not, and
Oそのソリューションが動作し、どのない、と
o what needs to be done.
O何をすべきか。
The workshop was very successful. Over one and half days of intensive discussions, the major sources of the unwanted traffic were identified, and a critical assessment of the existing mitigation tools was conducted. However, due to the limitation of available time, it was impossible to cover the topic of unwanted traffic in its entirety. Thus, for some of the important issues, only the surface was touched. Furthermore, because the primary focus of the workshop was to collect and share information on the current state of affairs, it is left as the next step to attempt to derive solutions to the issues identified. This will be done in part as activities within the IAB, the IETF, and the IRTF.
ワークショップは非常に成功しました。集中的な議論の1日半にわたり、不要なトラフィックの主要な発生源は特定された、既存の緩和ツールの重要な評価を行いました。しかし、利用可能な時間の制限によるもの、その全体が不要なトラフィックのトピックをカバーすることは不可能でした。このように、重要な問題のいくつかのために、表面だけは感動しました。ワークショップの主な焦点は、事務の現在の状態に関する情報を収集し、共有することだったので、また、特定された問題への解決策を導き出すしようとする次のステップとして残されています。これはIAB、IETF、およびIRTF内のアクティビティとして、一部で行われます。
During the workshop, a number of product and company names were cited, which are reflected in the report to a certain extent. However, a mention of any product in this report should not be taken as an endorsement of that product; there may well be alternative, equally relevant or efficacious products in the market place.
ワークショップの間、製品名および会社名の数は、ある程度のレポートに反映され、引用されました。しかし、この報告書ではすべての製品の言及は、その製品の承認と解釈すべきではありません。よく市場で、代替均等に関連するか、有効な製品があるかもしれません。
This report is a summary of the contributions by the workshop participants, and thus it is not an IAB document. The views and positions documented in the report do not necessarily reflect IAB views and positions.
このレポートでは、ワークショップ参加者による拠出金の要約であり、したがって、それはIABの文書ではありません。報告書に記載見解と位置は、必ずしもIABビューと位置を反映するものではありません。
The workshop participant list is attached in Appendix A. The agenda of the workshop can be found in Appendix B. Links to a subset of the presentations are provided in Appendix C; the rest of the presentations are of a sensitive nature, and it has been agreed that they will not be made public. Definitions of the jargon used in describing unwanted traffic can be found in Section 9.
ワークショップの参加者リストは、ワークショップの議題は、付録Cで提供されるプレゼンテーションのサブセットに付録B.リンクで見つけることができる付録Aに取り付けられています。プレゼンテーションの残りの部分は敏感な性質のものであり、彼らが公表されないことが合意されています。不要なトラフィックを説明する際に使用される専門用語の定義は、セクション9に記載されています。
The first important message this workshop would like to bring to the Internet community's attention is the existence of an underground economy. This underground economy provides an enormous amount of monetary fuel that drives the generation of unwanted traffic. This economic incentive feeds on an Internet that is to a large extent wide open. The open nature of the Internet fosters innovations but offers virtually no defense against abuses. It connects to millions of mostly unprotected hosts owned by millions of mostly naive users. These users explore and benefit from the vast opportunities offered by the new cyberspace, with little understanding of its vulnerability to abuse and the potential danger of their computers being compromised. Moreover, the Internet was designed without built-in auditing trails. This was an appropriate choice at the time, but now the lack of traceability makes it difficult to track down malicious activities. Combined with a legal system that is yet to adapt to the new challenge of regulating the cyberspace, this means the Internet, as of today, has no effective deterrent to miscreants. The unfettered design and freedom from regulation have contributed to the extraordinary success of the Internet. At the same time, the combination of these factors has also led to an increasing volume of unwanted traffic. The rest of this section provides a more detailed account of each of the above factors.
このワークショップは、インターネットコミュニティの関心を持ってしたい最初の重要なメッセージは、地下経済の存在です。この地下経済は、不要なトラフィックの生成を駆動する金銭燃料の膨大な量を提供します。この経済的なインセンティブが大幅に広く開いているインターネット上のフィード。インターネットのオープンな性質は、技術革新を促進しますが侵害に対する事実上の防御を提供しています。これは、主にナイーブ何百万ものユーザーが所有し、主に保護されていないホストの何百万人に接続します。これらのユーザーは、探求し、少し虐待するという脆弱性の理解と自分のコンピュータの潜在的な危険性が危険にさらされていると、新しいサイバースペースが提供する膨大な機会の恩恵を受ける。また、インターネットは、ビルトイン監査証跡なしで設計しました。これは時に適切な選択だったが、今トレーサビリティの欠如は、それが困難な悪意のある活動を追跡することができます。サイバースペースを規制する新たな課題に適応するためにまだある法制度と合わせて、これはインターネットを意味し、今日のように、悪党への効果的な抑止力を持っていません。規制から自由なデザインと自由はインターネットの異常な成功に貢献してきました。同時に、これらの要因の組み合わせはまた、不要なトラフィックの増加量につながっています。このセクションの残りの部分は、上記の要素の各々のより詳細な説明を提供します。
As in any economic system, the underground economy is regulated by a demand and supply chain. The underground economy, which began as a barter system, has evolved into a giant shopping mall, commonly running on IRC (Internet Relay Chat) servers. The IRC servers provide various online stores selling information about stolen credit cards and bank accounts, malware, bot code, botnets, root accesses to compromised hosts and web servers, and much more. There are DDoS attack stores, credit card stores, PayPal and bank account stores, as well as Cisco and Juniper router stores that sell access to compromised routers. Although not everything can be found on every server, most common tools used to operate in the underground economy can be found on almost all the servers.
すべての経済システムのように、地下経済は需要とサプライチェーンによって規制されています。物々交換システムとして始まった地下経済は、一般的にIRC(インターネットリレーチャット)のサーバ上で実行されている、巨大なショッピングモールへと進化してきました。 IRCサーバが盗まれたクレジットカードや銀行口座、マルウェア、ボットコード、ボットネットの情報を販売する様々なオンラインストアを提供し、根が損なわホストとWebサーバにアクセスし、はるかに。妥協ルータへのアクセスを販売するDDoS攻撃の店、クレジットカードの店、PayPalと銀行口座の店舗だけでなく、シスコやジュニパーのルータ店があります。すべてがすべてのサーバー上で見つけることができませんが、地下経済で動作させるために使用される最も一般的なツールは、ほとんどすべてのサーバ上で見つけることができます。
How do miscreants turn attack tools and compromised machines into real assets? In the simplest case, miscreants electronically transfer money from stolen bank accounts directly to an account that they control, often in another country. In a more sophisticated example, miscreants use stolen credit cards or PayPal accounts for online purchases. To hide their trails, they often find remailers who receive the purchased goods and then repackage them to send to the miscreants for a fee. The miscreants may also sell the goods through online merchandising sites such as eBay. They request the payments be made in cashier checks or money orders to be sent to the people who provide money laundering services for the miscreants by receiving the payments and sending them to banks in a different country, again in exchange for a fee. In either case, the destination bank accounts are used only for a short period and are closed as soon as the money is withdrawn by the miscreants.
どのように悪党が実物資産に攻撃ツールと妥協機を回すのですか?最も単純なケースでは、悪党は、電子的に、多くの場合、他の国では、直接、それらが制御するアカウントに盗まれた銀行口座からお金を移します。より洗練された例では、悪党は、オンライン購入のために盗まれたクレジットカードまたはPayPalのアカウントを使用します。自分の道を非表示にするには、彼らはしばしば、購入した商品を受け取った後、有料で悪党に送信するためにそれらを再パッケージリメイラを見つけます。悪党はまた、eBayなどのオンラインマーチャンダイジングのサイトを通じて商品を販売することができます。彼らは支払いを受け、料金と引き換えに、再び、別の国の銀行に送信することにより、悪党のためのマネーロンダリングサービスを提供する人に送信するキャッシャー小切手またはマネーオーダーで行われる支払いを要求します。いずれの場合も、先の銀行口座には、短期間しか使用されていると、すぐにお金が悪党によって引き出されるように閉じています。
The miscreants obtain private and financial information from compromised hosts and install bots (a.k.a. zombies) on them. They can also obtain such information from phishing attacks. Spam messages mislead naive users into accessing spoofed web sites run by the miscreants where their financial information is extracted and collected.
悪党が危険にさらさホストからプライベートや財務情報を入手し、それらの上にボット(別称、ゾンビ)をインストールします。彼らはまた、フィッシング攻撃からそのような情報を得ることができます。スパムメッセージは、彼らの財務情報を抽出して収集された悪党が運営する偽装されたウェブサイトにアクセスするにナイーブユーザーを欺きます。
The miscreants in general are not skilled programmers. With money, however, they can hire professional writers to produce well phrased spam messages, and hire coders to develop new viruses, worms, spyware, and botnet control packages, thereby resupplying the underground market with new tools that produce more unwanted traffic on the Internet: spam messages that spread phishing attacks, botnets that are used to launch DDoS attacks, click fraud that "earns" income by deceiving online commercial advertisers, and new viruses and worms that compromise more hosts and steal additional financial information as well as system passwords and personal identity information.
一般的に、悪党は熟練したプログラマではありません。お金で、しかし、彼らはうまく言葉で表現スパムメッセージを生成するために、プロのライターを雇うし、それによって、インターネット上でより多くの不要なトラフィックを生み出す新しいツールで地下市場を補給する、新しいウイルス、ワーム、スパイウェア、およびボットネット制御パッケージを開発するプログラマーを雇うことができます:フィッシング攻撃を広めるスパムメッセージ、DDoS攻撃を起動するために使用されているボットネット、オンラインの商業広告を欺くことで収入を「稼いでいる」という詐欺をクリックして、複数のホストを危うくし、追加の財務情報だけでなく、システムのパスワードを盗む新種のウイルスやワーム、個人識別情報。
The income gained from the above illegal activities allows miscreants to hire spammers, coders, and IRC server providers. Spammers use botnets. Direct marketing companies set up dirty affiliate programs. Some less than scrupulous banks are also involved to earn transaction fees from moving the dirty money around. In the underground market, everything can be traded, and everything has a value. Thus is spawned unwanted traffic of all kinds.
上記の違法な活動から得られた収入は悪党がスパマー、コーダー、およびIRCサーバー・プロバイダーを雇うことができます。スパマーはボットネットを使用しています。ダイレクトマーケティング会社が汚れアフィリエイトプログラムを設定します。いくつかの綿密未満の銀行はまた、周りの汚いお金を動かすことから取引手数料を稼ぐために関与しています。地下市場では、すべてが取引することができ、すべてが値を持っています。したがって、すべての種類の不要なトラフィックを生み出しています。
The underground economy has evolved very rapidly over the past few years. In the early days of bots and botnets, their activities were largely devoted to DDoS attacks and were relatively easy to detect. As the underground economy has evolved, so have the botnets. They have moved from easily detectable behavior to masquerading as normal user network activity to achieve their goals, making detection very difficult even by vigilant system administrators.
地下経済は、過去数年間で非常に急速に進化してきました。ボットやボットネットの初期の頃には、彼らの活動は、DDoS攻撃への大部分は献身的だったと検出することは比較的容易でした。地下経済が発展してきたとおり、そのボットネットを持っています。彼らは、自分の目標を達成するために、通常のユーザネットワーク活動を装ったとしても警戒システム管理者による検出が非常に困難にし、容易に検出動作から移動してきました。
The drive for this rapid evolution comes to a large extent from the change in the intention of miscreant activity. Early virus attacks and botnets were largely anarchic activities. Many were done by "script kiddies" to disrupt systems without a real purpose or to demonstrate the prowess of the attacker, for example in compromising systems that were touted as "secure". Mirroring the commercialization of the Internet and its increasing use for e-business, miscreant activity is now mostly focused on conventional criminal lines. Systems are quietly subverted with the goal of obtaining illicit financial gain in the future, rather than causing visible disruptions as was often the aim of the early hackers.
この急速な進化のためのドライブは悪党の活動の意図の変化から大幅に来ます。初期のウイルス攻撃とボットネットは、主にアナーキーな活動でした。多くは、真の目的なしにシステムを破壊するか、「セキュア」としてもてはやされたシステムを犠牲にすることで、たとえば、攻撃者の腕前を証明するために、「スクリプトキディ」によって行われました。インターネットと電子ビジネスのためのその使用の増加の商業化をミラーリング、悪党の活動は、現在、主に従来の刑事ラインに焦点を当てています。システムは、静かに、将来的に違法な金銭的な利益を得るのではなく、多くの場合、初期のハッカーの目的だったとして目に見える混乱を引き起こす目的で堕落しています。
Internet Relay Chat (IRC) servers are commonly used as the command and control channel for the underground market. These servers are paid for by miscreants and are professionally supported. They are advertised widely to attract potential consumers, and thus are easy to find. The miscreants first talk to each other on the servers to find out who is offering what on the market, then exchange encrypted private messages to settle the deals.
インターネットリレーチャット(IRC)サーバは、一般的に地下の市場のためのコマンドと制御チャネルとして使用されています。これらのサーバは、悪党によって支払われており、専門的にサポートされています。彼らは、潜在的な消費者を引き付けるために広く宣伝ので、見つけるのは簡単ですしています。悪党は、最初の取引を決済するために暗号化されたプライベートメッセージを交換し、その後、市場に何を提供している人を見つけるためにサーバー上でお互いに話します。
The miscreants are not afraid of network operators seeing their actions. If their activities are interrupted, they simply move to another venue. When ISPs take actions to protect their customers, revenge attacks are uncommon as long as the miscreants' cash flow is not disturbed. When a botnet is taken out, they move on to the next one, as there is a plentiful supply. However, if an IRC server is taken out that disturbs their cash flow, miscreants can be ruthless and severe attacks may follow. They currently have no fear, as they know the chances of their being caught are minimal.
悪党は彼らの行動を見てネットワークオペレータの恐れていません。その活動が中断された場合、彼らは単に別の会場に移動します。 ISPが顧客を保護するための行動を取る場合は、復讐の攻撃は限り悪党キャッシュフローが妨げられないようまれです。ボットネットを取り出すとき豊富な供給があるとして、彼らは、次のいずれかに移動します。 IRCサーバが取り出されている場合しかし、それは彼らのキャッシュフローを乱す、悪党は冷酷にすることができ、深刻な攻撃が続くことがあります。彼らは自分が最小限で捕まるの可能性を知っている彼らは現在、何の心配もありません。
Our enemies make good use of the Internet's global connectivity as well as all the tools the Internet has developed. IRC servers provide a job market for the miscreants and shopping malls of attack tools. Networking research has produced abundant results making it easier to build large scale distributed systems, and these have been adopted by miscreants to build large size, well-controlled botnets. Powerful search engines also enable one to quickly find readily available tools and resources. The sophistication of attacks has increased with time, while the skills required to launch effective attacks have become minimal. Attackers can be hiding anywhere in the Internet while attacks get launched on a global scale.
私たちの敵は良いインターネットのグローバルな接続を使用するだけでなく、インターネットが開発したすべてのツールを作ります。 IRCサーバは、攻撃ツールの悪党やショッピングモールのための雇用市場を提供しています。ネットワークの研究では、それが簡単に大規模な分散システムを構築すること、豊富な成果を生み出している、これらは大きなサイズ、よく制御されたボットネットを構築するために悪党で採用されています。強力な検索エンジンも素早く容易に利用可能なツールやリソースを検索することを可能に。効果的な攻撃を開始するために必要なスキルは最小限になっているが、攻撃の高度化は、時間の経過とともに増加しています。攻撃が世界規模で立ち上げますしながら、攻撃者は、インターネットのどこに隠れてすることができます。
The current Internet provides a field ripe for exploitation. The majority of end hosts run vulnerable platforms. People from all walks of life eagerly jump into the newly discovered online world, yet without the proper training needed to understand the full implications. This is at least partially due to most users failing to anticipate how such a great invention can be readily abused. As a result, the Internet has ended up with a huge number of compromised hosts, without their owners being aware that it has happened.
現在のインターネットは、搾取のために熟したフィールドを提供します。エンドホストの大半は脆弱なプラットフォームを実行します。すべての人生の歩みからの人々が熱心に完全な意味を理解するのに必要な適切な訓練なしまだ、新たに発見されたオンラインの世界に飛び込みます。これは、少なくとも部分的に、このような偉大な発明は、容易に悪用される可能性がどのように予測することができないほとんどのユーザーによるものです。その結果、インターネットは、その所有者は、それが起こっていることを意識することなく、妥協したホストの膨大な数になってしまいました。
Unprotected hosts can be compromised in multiple ways. Viruses and worms can get into the system through exploiting bugs in the existing operating systems or applications, sometimes even in anti-virus programs. A phishing site may also take the opportunity to install malware on a victim's computer when a user is lured to the site. More recently, viruses have also started being propagated through popular peer-to-peer file sharing applications. With multiple channels of propagation, malware has become wide-spread, and infected machines include not only home PCs (although they do represent a large percentage), but also corporate servers, and even government firewalls.
保護されていないホストは、複数の方法で妥協することができます。ウイルスやワームは、時にはアンチウイルスプログラムでは、既存のオペレーティングシステムやアプリケーションのバグを悪用してシステムに入ることができます。フィッシングサイトは、ユーザーがサイトに魅了されたときに、被害者のコンピュータにマルウェアをインストールする機会がかかる場合があります。さらに最近では、ウイルスはまた、人気のピア・ツー・ピアのファイル共有アプリケーションを介して伝播され始めています。伝播の複数のチャネルを使用すると、マルウェアは、広く普及となっている、と(彼らは大きな割合を表しんが)感染したマシンは、企業サーバー、さらには政府のファイアウォールもしていないだけで自宅のPCを含んでいます。
News of new exploits of vulnerabilities of Microsoft Windows platforms is all too frequent, which leads to a common perception that the Microsoft Windows platform is a major source of vulnerability. One of the reasons for the frequent vulnerability exploits of the Windows system is its popularity in the market place; thus, a miscreant's investment in each exploit can gain big returns from infecting millions of machines. As a result, each incident is also likely to make headlines in the news. In reality, all other platforms such as Linux, Solaris, and MAC OS for example, are also vulnerable to compromises. Routers are not exempt from security break-ins either, and using a high-end router as a DoS launchpad can be a lot more effective than using a bundle of home PCs.
Microsoft Windowsプラットフォームの脆弱性の新しいエクスプロイトのニュースは、Microsoft Windowsプラットフォームでは、脆弱性の主な原因であるとの共通認識につながる、あまりにも頻繁にあります。 Windowsシステムの頻繁な脆弱性悪用のための理由の一つは、市場でその人気です。このように、各悪党の投資は、マシンの何百万人を感染から大きなリターンを得ることができます活用します。その結果、各事件もニュースで見出しを作る可能性があります。実際には、例えばLinux、Solaris、およびMac OSなど他のすべてのプラットフォームは、また妥協に対して脆弱です。ルータは、どちらかのセキュリティ侵入を免除されない、とのDoSランチパッドとしてハイエンドルータを使用すると、家庭用PCのバンドルを使用してより多くの、より効果的なことができます。
Quietly subverting large numbers of hosts and making them part of a botnet, while leaving their normal functionality and connectivity essentially unimpaired, is now a major aim of miscreants and it appears that they are being all too successful. Bots and the functions they perform are often hard to detect and most of the time their existence are not known to system operators or owners (hence, the alternative name for hosts infected with bots controlled by miscreants - zombies); by the time they are detected, it might very well be too late as they have carried out the intended (mal-)function.
静か多数のホストを破壊すると、実質的に損なわれていない彼らの通常の機能と接続性を残したまま、彼らにボットネットの一部を作り、今悪党の主要な目的である、彼らはすべてがあまりにも成功していることが表示されます。ボットとそれらが実行する機能は、多くの場合、検出が困難であり、その存在は、システム・オペレータまたは所有者に知られていないほとんどの時間(したがって、悪党によって制御ボットに感染したホストの代替名 - ゾンビ)。それらが検出された時点で、それは非常によく遅すぎる、彼らが意図(mal-)関数を実施してきたようであるかもしれません。
The existence of a large number of compromised hosts is a
particularly challenging problem to the Internet's security. Not
only does the stolen financial information lead to enormous economic
losses, but also there has been no quick fix to the problem. As
noted above, in many cases the owners of the compromised computers
are unaware of the problem. Even after being notified, some owners
still do not care about fixing the problem as long as their own
interest, such as playing online games, is not affected, even though
the public interest is endangered --- large botnets can use multi-
millions of such compromised hosts to launch DDoS attacks, with each
host sending an insignificant amount of traffic but the aggregate
exceeding the capacity of the best engineered systems.
One of the Internet's big strengths is its ability to provide seamless interconnection among an effectively unlimited number of parties. However, the other side of the same coin is that there may not be clear ways to assign responsibilities when something goes wrong. Taking DDoS attacks as an example, an attack is normally launched from a large number of compromised hosts, the attack traffic travels across the Internet backbone to the access network(s) linking to the victims. As one can see, there are a number of independent stake-holders involved, and it is not immediately clear which party should take responsibility for resolving the problem.
インターネットの大きな強みの一つは、当事者の事実上無制限の数の間でシームレスな相互接続を提供する能力です。しかし、同じコインの反対側には、何かがうまくいかないときの責任を割り当てるには明確な方法がないかもしれないということです。一例として、DDoS攻撃を取ると、攻撃が正常に妥協多数のホストから起動され、攻撃トラフィックは、被災者へのリンク、アクセスネットワーク(複数可)にインターネットバックボーン上を移動します。 1が見ることができるように、そこに関わる独立したステークホルダーの数であり、問題を解決するための責任を取るべきパーティすぐに明確ではありません。
Furthermore, tracking down an attack is an extremely difficult task. The Internet architecture enables any IP host to communicate with any other hosts, and it provides no audit trails. As a result, not only is there no limit to what a host may do, but also there is no trace after the event of what a host may have done. At this time, there is virtually no effective tool available for problem diagnosis or packet trace back. Thus, tracking down an attack is labor intensive and requires sophisticated skills. As will be mentioned in the next section, there is also a lack of incentive to report security attacks. Compounded with the high cost, these factors make forensic tracing of an attack to its root a rare event.
さらに、攻撃を追跡することは非常に困難な作業です。インターネットアーキテクチャは、他のホストと通信するための任意のIPホストを可能にし、それには監査証跡を提供しません。その結果、ホストがそうかもしれないものに制限はありませんだけでなく、痕跡は、ホストが行っているかもしれないもののイベントの後はありません。この時点で、問題の診断やパケットトレースバックのために利用できる有効なツールは事実上ありません。このように、攻撃を追跡することは、労働集約的であり、洗練されたスキルを必要とします。次のセクションで言及されるように、セキュリティ攻撃を報告するインセンティブの欠如もあります。高いコストを配合し、これらの要因は、そのルートへの攻撃まれなイベントの法医学追跡を行います。
In human society, the legal systems provide protection against criminals. However, in the cyberspace, the legal systems are lagging behind in establishing regulations. The laws and regulations aim at penalizing the conduct after the fact. If the likelihood of detection is low, the deterrence would be minimal. Many national jurisdictions have regulations about acts of computer fraud and abuse, and they often carry significant criminal penalties. In the US (and many other places), it is illegal to access government computers without authorization, illegal to damage protected government computers, and illegal to access confidential information on protected computers. However, the definition of "access" can be difficult to ascertain. For example, is sending an ICMP (Internet Control Messaging Protocol) packet to a protected computer considered illegal access? There is a lack of technical understanding among lawmakers that would be needed to specify the laws precisely and provide effective targeting limited to undesirable acts. Computer fraud and liabilities laws provide a forum to address illegal access activities and enable prosecution of cybercriminals. However, one difficulty in prosecuting affiliate programs using bot infrastructure is that they are either borderline legal, or there is little evidence. There is also the mentality of taking legal action only when the measurable monetary damage exceeds a high threshold, while it is often difficult to quantify the monetary damage in individual cases of cyberspace crimes.
人間社会では、法制度は、犯罪者に対する保護を提供します。しかし、サイバースペースでは、法制度は、規制の確立に遅れています。法律や規制は事実の後に行為を罰することを目的としています。検出の可能性が低い場合には、抑止力は最小限になります。多くの国の法域では、コンピュータ詐欺や虐待の行為に関する規制を持っている、と彼らはしばしば重大な刑事罰を運びます。米国(および他の多くの場所)で、保護されているコンピュータ上の機密情報にアクセスするために保護された政府のコンピュータを損傷し、許可なく違法な政府のコンピュータにアクセスすることは違法、違法です。しかし、「アクセス」の定義は、確認することが困難な場合があります。例えば、不正アクセスとみなさ保護されたコンピュータへのICMP(インターネット制御メッセージプロトコル)パケットを送信していますか?正確に法律を指定して、望ましくない行為に限定された効果的なターゲティングを提供するために必要とされるであろう議員の間で技術的な理解の欠如があります。コンピュータ詐欺および負債の法律は、不正アクセスの活動に対処し、サイバー犯罪者の起訴を可能にするためのフォーラムを提供しています。しかし、ボットのインフラストラクチャを使用してアフィリエイトプログラムを起訴内の1つの難しさは、彼らが法的な境界線のどちらかである、またはほとんどない証拠があるということです。サイバースペース犯罪の個々のケースで金銭的被害を定量化することが困難な場合が多い一方、測定可能な金銭的被害は、高しきい値を超えた場合にのみ法的措置を取っての考え方もあります。
There is a coalition between countries on collecting cybercriminal evidence across the world, but there is no rigorous way to trace across borders. Laws and rules are mostly local to a country, policies (when they exist) are mostly enacted and enforced locally, while the Internet itself, that carries the unwanted traffic, respects no borders. One estimate suggests that most players in the underground economy are outside the US, yet most IRC servers supporting the underground market may be running in US network providers, enjoying the reliable service and wide connectivity to the rest of the world provided by the networks.
世界中のサイバー犯罪の証拠を集める上国間の連合がありますが、国境を越えてトレースする一切の厳密な方法はありません。法律や規則は、不要なトラフィックを伝送し、インターネット自体は、国境を尊重しない間ポリシー(存在)、ほとんどが制定され、ローカルに施行され、国のほとんどがローカルです。一つの推定値は、地下経済のほとんどのプレーヤーが米国外であることを示唆している、まだ地下の市場をサポートするほとんどのIRCサーバは、ネットワークが提供する、世界の残りの部分に信頼性の高いサービスと幅広い接続性を楽しんで、米国のネットワークプロバイダで実行される場合があります。
In addition, the definition of "unwanted" traffic also varies between different countries. For example, China bans certain types of network traffic that are considered legitimate elsewhere. Yet another major difficulty is the trade-off and blurred line between having audit trails to facilitate forensic analysis and to enforce censorship. The greater ability we build into the network to control traffic, the stronger would be the monitoring requirements coming from the legislators.
また、「不要な」トラフィックの定義は、異なる国の間で変動します。例えば、中国は他の場所で正当とみなされるネットワークトラフィックの特定の種類を禁止します。さらに別の大きな問題は、法医学的分析を容易にし、検閲を強制するために、監査証跡を持つとのトレードオフとぼやけたラインです。私たちは、トラフィックを制御するためにネットワークに組み込むより大きな能力、強いが、議員からの監視要件になります。
It should be emphasized that, while a legal system is necessary to create effective deterrence and sanctions against miscreants, it is by no means sufficient on its own. Rather, it must be accompanied by technical solutions to unwanted traffic detection and damage recovery. It is also by no means a substitute for user education. Only a well informed user community can collectively establish an effective defense in the cyberspace.
法制度が効果的な抑止力と悪党制裁を作成する必要があるが、それは自分自身で十分でないことは、ことを強調しなければなりません。むしろ、それは、不要なトラフィックの検出とダメージ回復への技術的な解決策を添付しなければなりません。それはなしでユーザー教育のための代替を意味もあります。唯一の十分な情報をユーザーコミュニティをまとめサイバースペースでの効果的な防御を確立することができます。
What we have today is not a rosy picture: there are
私たちが今日持っていることはバラ色画像ではありません。あります
o big economic incentives and a rich environment to exploit,
大きな経済的インセンティブや悪用する豊かな環境、O、
o no specific party to carry responsibility,
責任を運ぶには特にパーティーO、
o no auditing system to trace back to the sources of attacks, and
攻撃のソースに戻って追跡する無監査システムO、および
o no well established legal regulations to punish offenders.
O何も犯罪者を処罰する法的規制を確立していません。
The combination of these factors inevitably leads to ever increasing types and volume of unwanted traffic. However, our real threats are not the bots or DDoS attacks, but the criminals behind them. Unwanted traffic is no longer only aiming for maximal disruption; in many cases, it is now a means to illicit ends with the specific purpose of generating financial gains for the miscreants. Their crimes cause huge economic losses, counted in multiple billions of dollars and continuing.
これらの要因の組み合わせは、必然的に、これまでのタイプと、不要なトラフィックの量を増やすことにつながります。しかし、私たちの本当の脅威は、ボットやDDoS攻撃ではなく、その背後にある犯罪者。不要なトラフィックは、もはや唯一最大の混乱を目指していません。多くの場合、それは今悪党のための財政的利益を生成する特定の目的で不正終了するための手段です。彼らの犯罪は、巨大な経済的損失、ドルの複数の十億でカウントし、継続を引き起こします。
There are quite a number of different kinds of unwanted traffic on the Internet today; the discussions at this workshop were mainly around DDoS traffic and spam. The impact of DDoS and spam on different parts of the network differs. Below, we summarize the impact on backbone providers, access providers, and enterprise customers, respectively.
インターネット上の不要なトラフィック今日の異なる種類のかなりの数があります。このワークショップでの議論は、主にDDoS攻撃のトラフィックやスパムの周りにいました。ネットワークが異なるの異なる部分にDDoS攻撃やスパムの影響。以下に、私たちはそれぞれ、バックボーン・プロバイダ、アクセスプロバイダ、および企業顧客への影響をまとめたものです。
Since backbone providers' main line of business is packet forwarding, the impact of unwanted traffic is mainly measured by whether DDoS traffic affects network availability. Spam or malware is not a major concern because backbone networks do not directly support end users. Router compromises may exist, but they are rare events at this time.
ビジネスのバックボーンプロバイダのメインラインは、パケット転送であるので、不要なトラフィックの影響は主にDDoS攻撃トラフィックがネットワークの可用性に影響を与えるかどうかによって測定されます。バックボーンネットワークは、直接エンドユーザーをサポートしていないので、スパムやマルウェアが主要な関心事ではありません。ルータの妥協が存在する可能性があるが、彼らはこの時点では稀な事象です。
Observation shows that, in the majority of DDoS attacks, attack traffic can originate from almost anywhere in the Internet. In particular, those regions with high speed user connectivity but poorly managed end hosts are often the originating sites of DDoS attacks. The miscreants tend to find targets that offer maximal returns with minimal efforts.
観測は、DDoS攻撃の大部分で、攻撃トラフィックは、ほとんどどこでもインターネットでから発信できることを示しています。具体的には、これらの高速ユーザ接続と地域が、管理の不十分なエンドホストは、多くの場合、DDoS攻撃の起点サイトです。悪党は、最小限の努力で最大限のリターンを提供し、ターゲットを見つけるために傾向があります。
Backbone networks in general are well-provisioned in regard to traffic capacities. Therefore, core routers and backbone link capacity do not get affected much by most DDoS attacks; a 5Gbps attack could be easily absorbed without causing noticeable impact on the performance of backbone networks. However, DDoS attacks often saturate access networks and make a significant impact on customers. In particular, multihomed customers who have multiple well-provisioned connections for high throughput and performance may suffer from aggregated DDoS traffic coming in from all directions.
一般的に、バックボーンネットワークは、トラフィック容量に関してよくプロビジョニングされます。そのため、コア・ルータとバックボーンリンク容量は、ほとんどのDDoS攻撃によってあまり影響されません。 5Gbpsの攻撃は簡単にバックボーンネットワークのパフォーマンスに顕著な影響を発生させることなく吸収することができました。しかし、DDoS攻撃は、多くの場合、アクセスネットワークを飽和させ、顧客に重大な影響を作ります。具体的には、すべての方向から来る集約DDoS攻撃トラフィックに苦しむ可能性のある高スループットとパフォーマンスのために複数のよくプロビジョニング接続を持っている顧客をマルチホーム。
Currently, backbone networks do not have effective diagnosis or mitigation tools against DDoS attacks. The foremost problem is a lack of incentives to deploy security solutions. Because IP transit services are a commodity, controlling cost is essential to surviving the competition. Thus, any expenditure tends to require a clearly identified return-on-investment (ROI). Even when new security solutions become available, providers do not necessarily upgrade their infrastructure to deploy the solutions, as security solutions are often prevention mechanisms that may not have an easily quantifiable ROI. To survive in the competitive environment in which they find themselves, backbone providers also try to recruit more customers. Thus, a provider's reputation is important. Due to the large number of attacks and inadequate security solution deployment, effective attacks and security glitches can be expected. However, it is not in a provider's best interest to report all the observed attacks. Instead, the provider's first concern is to minimize the number of publicized security incidents. For example, a "trouble ticket" acknowledging the problem is issued only after a customer complains. An informal estimate suggested that only about 10% of DDoS attacks are actually reported (some other estimates have put the figure as low as 2%). In short, there is a lack of incentives to either report problems or deploy solutions.
現在、バックボーンネットワークは、DDoS攻撃に対する効果的な診断または軽減ツールを持っていません。一番の問題は、セキュリティソリューションを展開するためのインセンティブの欠如です。 IPトランジットサービスは、商品であるため、コストを制御することは、競争を生き残るために不可欠です。このように、任意の支出が明確に特定投資収益率(ROI)を必要とする傾向があります。新しいセキュリティソリューションが利用可能になった場合でも、プロバイダは、必ずしもセキュリティソリューションを容易に定量ROIを持っていない可能性があり、多くの場合、予防のメカニズムであるとして、ソリューションを展開するために、インフラストラクチャをアップグレードしないでください。彼らは自分自身を見つけるした競争的環境の中で生き残るためには、バックボーン・プロバイダは、より多くの顧客を募集してみてください。このように、プロバイダの評判は重要です。攻撃や不適切なセキュリティソリューションの展開、効果的な攻撃やセキュリティの不具合の数が多いに期待することができます。しかし、それはすべての観測攻撃を報告するプロバイダの最善の利益ではありません。代わりに、プロバイダの最初の懸念は公表セキュリティインシデントの数を最小限にすることです。たとえば、問題を認め、「トラブルチケットは、」顧客が不平を言いた後にのみ発行されます。非公式の推定値は(他のいくつかの推定値は2%ほど低い数字を入れている)DDoS攻撃の約10%が実際に報告されていることが示唆されました。要するに、問題の報告やソリューションを展開いずれかへのインセンティブの欠如があります。
Partly as a consequence of the lack of incentive and lack of funding, there exist few DDoS mitigation tools for backbone providers. Network operators often work on their own time to fight the battle against malicious attacks. Their primary mitigation tools today are Access Control Lists (ACL) and BGP (Border Gateway Protocol) null routes to black-hole unwanted traffic. These tools can be turned on locally and do not require coordination across administrative domains. When done at, or near, DDoS victims, these simple tools can have an immediate effect in reducing the DDoS traffic volume.
一部のインセンティブと資金不足の欠如の結果として、バックボーン・プロバイダのいくつかのDDoS対策ツールが存在します。ネットワークオペレータは、多くの場合、悪意のある攻撃との戦いを戦うために自分の時間に取り組んでいます。彼らの主な緩和ツール今日のアクセス制御リスト(ACL)とブラックホール不要なトラフィックへのBGP(ボーダーゲートウェイプロトコル)ヌルルートです。これらのツールは、ローカルにオンにすることができ、管理ドメイン間での調整を必要としません。行われた場合、または近くに、DDoS攻撃の被害者は、これらの簡単なツールは、DDoS攻撃のトラフィック量を減らすのに即効性を持つことができます。
However, these tools are rather rudimentary and inadequate, as we will elaborate in Section 4.2.1.
私たちは4.2.1項で詳しく説明しますしかし、これらのツールは、かなり初歩的かつ不十分です。
A common issue that access providers share with backbone providers is the lack of incentive and the shortage of funding needed to deploy security solutions. As with the situation with security incidents on the backbone, the number of security incidents reported by access providers is estimated to be significantly lower than the number of the actual incidents that occurred.
バックボーン・プロバイダとプロバイダの共有にアクセスする一般的な問題は、インセンティブおよびセキュリティソリューションを展開するために必要な資金の不足の欠如です。バックボーン上のセキュリティインシデントの状況と同様に、アクセスプロバイダによって報告されたセキュリティインシデントの数が発生した実際の事件の数よりも有意に低いことが推定されています。
Because access providers are directly connected to end customers, they also face unique problems of their own. From the access providers' viewpoint, the most severe impact of unwanted traffic is not the bandwidth exhaustion, but the customer support load it engenders. The primary impact of unwanted traffic is on end users, and access providers must respond to incident reports from their customers. Today, access providers are playing the role of IT help desk for many of their customers, especially residential users. According to some access providers, during the Microsoft Blaster worm attack, the average time taken to handle a customer call was over an hour. Due to the high cost of staffing the help desks, it is believed that, if a customer calls the help desk just once, the provider would lose the profit they would otherwise have otherwise made over the lifetime of that customer account.
アクセス・プロバイダは、顧客、エンドに直接接続されているので、彼らはまた、独自のユニークな問題に直面しています。アクセスプロバイダの観点からは、不要なトラフィックの最も深刻な影響は、帯域幅の枯渇ではありませんが、それはengenders顧客サポートの負荷。不要なトラフィックの主な影響は、エンドユーザーにあり、アクセスプロバイダは、顧客からのインシデント報告に応答しなければなりません。今日では、アクセスプロバイダは、顧客、特に住宅のユーザーの多くはITヘルプデスクの役割を果たしています。いくつかのアクセスプロバイダによると、マイクロソフトBlasterワームの攻撃中に、顧客のコールを処理するのにかかる平均時間は、時間を超えていました。ヘルプデスクの人員のコストが高いため、その顧客は一度だけ、ヘルプデスクを呼び出す場合、プロバイダは、彼らがそうでなければそれ以外の場合は、その顧客口座の寿命にわたって行われたであろう利益を失うことになる、と考えられています。
To reduce the high customer service cost caused by security breaches, most access providers offer free security software to their customers. It is much cheaper to give the customer "free" security software in the hope of preventing system compromises than handling the system break-ins after the event. However, perhaps due to their lack of understanding of the possible security problems they may face, many customers fail to install security software despite the free offer from their access providers, or even when they do, they may lack the skill needed to configure a complex system correctly.
セキュリティ違反に起因する高い顧客サービスのコストを削減するために、最もアクセスプロバイダは、顧客に無料のセキュリティソフトを提供します。イベント後にシステムブレークインを扱うよりも、システムの妥協を防止することを期待して、お客様の「自由」のセキュリティソフトウェアを提供するはるかに安いです。しかし、おそらく彼らが直面する可能性のあるセキュリティ上の問題の理解の欠如に、多くの顧客がアクセスプロバイダからの無料提供にもかかわらず、セキュリティソフトをインストールに失敗し、または彼らが行う場合でも、彼らは複合体を構成するために必要なスキルが不足していること正しくシステム。
What factors may influence how quickly customers get the security breaches fixed? Past experience suggests the following observations:
顧客がセキュリティ侵害を固定し得るどのように迅速にどのような要因に影響を与える可能性がありますか?過去の経験は、以下の観察を示唆します:
o Notification has little impact on end user repair behavior.
O通知は、エンドユーザの修理行動にほとんど影響しません。
o There is no significant difference in terms of repair behavior between different industries or between business and home users.
O異業種間や企業と家庭ユーザー間の修理行動の面で有意な差はありません。
o Users' patching behavior follows an exponential decay pattern with a time constant of approximately 40% per month. Thus, about 40% of computers tend to be patched very quickly when a patch is released, and approximately 40% of the remaining vulnerable computers in each following month will show signs of being patched. This leaves a few percent still unpatched after 6 months. In the very large population of Internet hosts, this results in a significant number of hosts that will be vulnerable for the rest of their life.
Oユーザーのパッチング挙動は月額約40%の時定数で指数関数的減衰のパターンに従います。このように、コンピュータの約40%は、パッチがリリースされたときに非常に迅速にパッチを適用する傾向があり、それぞれ次の月の残りの脆弱なコンピュータの約40%は、パッチが適用されるの兆候が表示されます。これは、6ヶ月後、まだパッチ未適用の数パーセントを残します。インターネットホストの非常に大規模な人口では、これは彼らの人生の残りのために脆弱になるホストのかなりの数になります。
o There is a general lack of user understanding: after being compromised, unmanaged computers may get replaced rather than repaired, and this often results in infections occurring during the installation process on the replacement.
Oユーザーの理解の一般的な不足があります:危険にさらされた後、管理されていないコンピュータを交換ではなく修理し、これは多くの場合、交換のインストールプロセス中に発生する感染症につながることがあります。
The operators of one big enterprise network reported their experience regarding unwanted traffic to the workshop. Enterprises perceive many forms of bad traffic including worms, malware, spam, spyware, Instant Messaging (IM), peer-to-peer (P2P) traffic, and DoS. Compared to backbone and access providers, enterprise network operators are more willing to investigate security breaches, although they may hesitate to pay a high price for security solutions. False positives are very costly. Most operators prefer false negatives to false positives. In general, enterprises prefer prevention solutions to detection solutions.
一つの大きな企業ネットワークのオペレータは、ワークショップへの不要なトラフィックに関する彼らの経験を報告しました。企業はワーム、マルウェア、スパム、スパイウェア、インスタントメッセージング(IM)、ピア・ツー・ピア(P2P)トラフィック、およびDoS攻撃などの不正なトラフィックの多くの形態を知覚します。バックボーンとアクセスプロバイダと比較すると、企業のネットワークオペレータは、彼らがセキュリティソリューションのための高い代償を払うことを躊躇かもしれないが、セキュリティ侵害を調査する方が喜んでいます。偽陽性は非常に高価です。ほとんどの事業者は、偽陽性に偽陰性を好みます。一般的に、企業は、検出溶液に防止ソリューションを好みます。
Deliberately created unwanted traffic (as opposed to unwanted traffic that might arise from misconfiguration) in enterprise networks can be sorted into three categories. The first is "Nuisance", which includes unwanted traffic such as spam and peer-to-peer file sharing. Although there were different opinions among the workshop participants as to whether P2P traffic should, or should not, be considered as unwanted traffic, enterprise network operators are concerned not only that P2P traffic represents a significant share of the total network load, but they are also sensitive to potential copyright infringement issues that might lead to significant financial and legal impacts on the company as a whole. In addition, P2P file sharing applications have also became a popular channel for malware propagation.
企業ネットワークにおける故意に作成された不要なトラフィックが(設定ミスから生じる可能性のある不要なトラフィックとは反対に)三つのカテゴリーに分類することができます。最初は、スパムやピア・ツー・ピアのファイル共有などの不要なトラフィックを含む「迷惑」です。 P2Pトラフィックべきすべきか否かについてのワークショップの参加者間で異なる意見があったが、不要なトラフィックと見なすことが、企業のネットワークオペレータは懸念しているP2Pトラフィックは、ネットワーク全体の負荷の大きなシェアを表し、それらはまた、あるだけでなく全体として、会社に重大な財務および法律上の影響につながるかもしれない潜在的な著作権侵害の問題に敏感。また、P2Pファイル共有アプリケーションはまた、マルウェア伝播のための人気チャンネルとなっています。
The second category of unwanted traffic is labeled "Malicious", which includes the traffic that spreads malware. This class of traffic can be small in volume but the cost from the resulting damage can be high. The clean up after an incident also requires highly skilled operators.
不要なトラフィックの第二のカテゴリーは、マルウェアを拡散トラフィックが含まれ、「悪意のある」というラベルが付いています。トラフィックのこのクラスは、ボリュームに小さくすることができますが、結果として損傷からコストが高くなることがあります。事件後のクリーンアップも非常に熟練したオペレータを必要とします。
The third category of unwanted traffic is "Unknown": it is known that there exists a class of traffic in the network that can be best described in this way, as no one knows its purpose or the locations of the sources. Malicious traffic can be obscured by encryption, encapsulation, or covered up as legitimate traffic. The existing detection tools are ineffective for this type of traffic. Noisy worms are easy to identify, but stealth worms can open a backdoor on hosts and stay dormant for a long time without causing any noticeable detrimental effect. This type of bad traffic has the potential to make the greatest impact on an enterprise from a threat perspective.
不要なトラフィックの第三のカテゴリーは「不明」である:誰もがその目的や発生源の位置を知らないよう、最善このように記述することができ、ネットワーク内のトラフィックのクラスが存在することが知られています。悪意のあるトラフィックは、暗号化、カプセル化によって隠され、または正当なトラフィックをカバーすることができます。既存の検出ツールは、このタイプのトラフィックのために効果的ではありません。騒々しいワームは、特定しやすいですが、ステルスワームは、ホスト上でバックドアを開き、任意の顕著な悪影響を引き起こすことなく、長い時間のために休止状態に滞在することができます。悪いトラフィックのこのタイプは、脅威の観点から、企業に最も大きな影響を与える可能性を秘めています。
There are more mitigation tools available for enterprise networks than for backbone and access network providers; one explanation might be the greater affordability of solutions for enterprise networks. The costs of damage from a security breach can also have a very significant impact on the profits of an enterprise. At the same time, however, the workshop participants also expressed concerns regarding the ongoing arms race between security exploits and patching solutions. Up to now, security efforts have, by and large, been reactive, creating a chain of security exploits and a consequent stream of "fixes". Such a reactive mode has not only created a big security market, but also does not enable us to get ahead of attackers.
バックボーンとアクセスネットワークプロバイダよりも企業ネットワークで利用可能な、より緩和ツールがあります。 1つの説明は、企業ネットワークのためのソリューションをより手頃な価格であるかもしれません。セキュリティ侵害による被害のコストは、企業の利益に非常に大きな影響を与えることができます。しかし、同時に、ワークショップの参加者は、セキュリティの弱点とパッチ適用ソリューション間の継続的な軍備競争に関する懸念を表明しました。今までは、セキュリティ上の努力は、により、大規模、セキュリティの弱点と「修正」の必然的な流れの連鎖を作成、反応しています。このような反応性モードのみ大きなセキュリティ市場を作成していないが、また、先に攻撃者の取得するために私たちを有効にしません。
Different from backbone and access providers, there also exists a class of Internet service infrastructure providers. Provision of Domain Name System (DNS) services offers an example here. As reported by operators from a major DNS hosting company, over time there have been increasingly significant DDoS attacks on .com, .net and root servers.
バックボーンとアクセスプロバイダとは異なり、また、インターネット・サービス・インフラ・プロバイダーのクラスが存在します。ドメインネームシステム(DNS)サービスの提供は、ここでは例を提供しています。主要なDNSホスティング会社から事業者によって報告されているように、時間をかけて.COM、.NETおよびルートサーバー上でますます重要なDDoS攻撃が行われています。
DNS service operators have witnessed large scale DDoS attacks. The most recent ones include reflection attacks resulting from queries using spoofed source addresses. The major damage caused by these attacks are bandwidth and resource exhaustion, which led to disruption of critical services. The peak rate of daily DNS transactions has been growing at a much faster rate than the number of Internet users, and this trend is expected to continue. The heavy load on the DNS servers has led to increasing complexity in providing the services.
DNSサービス事業者は、大規模なDDoS攻撃を目撃しました。最も最近のものは偽装された送信元アドレスを使用して、クエリの結果、反射攻撃が含まれています。これらの攻撃によって引き起こされる主な被害は、重要なサービスの中断につながった帯域幅と資源の枯渇、です。毎日DNS取引のピークレートは、インターネットユーザーの数よりもはるかに速い速度で成長しており、この傾向は今後も続くと予想されます。 DNSサーバーに大きな負荷がサービスを提供する複雑性を高めることにつながっています。
In addition to intentional DDoS Attacks, some other causes of the heavy DNS load included (1) well known bugs in a small number of DNS servers that still run an old version of the BIND software, causing significant load increase at top level servers; and (2) inappropriately configured firewalls that allow DNS queries to come out but block returning DNS replies, resulting in big adverse impacts on the overall system. Most of such issues have been addressed in the DNS operational guidelines drafted by the IETF DNS Operations
意図的なDDoS攻撃に加えて、重いDNS荷重の他のいくつかの原因はまだトップレベルのサーバに大きな負荷の増加を引き起こし、BINDソフトウェアの旧バージョンを実行するDNSサーバーの小さな数で(1)は、周知のバグが含まれ;及び(2)不適切なDNSクエリが出てくるが、全体的なシステムにも大きな悪影響が生じ、DNS応答を返すブロックすることができるようにファイアウォールを構成しました。そのような問題のほとんどは、IETF DNSの操作によって起草DNS運用ガイドラインで対処されています
Working Group; however, many DNS operators have not taken appropriate actions.
ワーキンググループ;しかし、多くのDNSオペレータは、適切な措置を講じていません。
At this time, the only effective and viable mitigation approach is over-engineering the DNS service infrastructure by increasing link bandwidth, the number of servers, and the server processing power, as well as deploying network anycast. There is a concern about whether the safety margin gained from over-engineering is, or is not, adequate in sustaining DNS services over future attacks. Looking forward, there are also a few new issues looming. Two imminent ones are the expected widespread deployment of IPv6 whose new DNS software would inevitably contain new bugs, and the DNS Security Extensions (DNSSEC), which could potentially be abused to generate DDoS attacks.
この時点では、唯一の効果的かつ実行可能な緩和アプローチは、リンク帯域幅、サーバの数、およびサーバーの処理能力を上げるだけでなく、ネットワークのエニーキャストを展開することによって、DNSサービスインフラストラクチャ上・エンジニアリングです。将来の攻撃の上にDNSサービスを維持する上で十分なオーバーエンジニアリングから得られた安全マージンがあるかどうかについての懸念が、あります。楽しみにして、迫り来るいくつかの新しい問題もあります。二つの切迫したものは、潜在的にDDoS攻撃を生成するために悪用される可能性があり、新しいDNSソフトウェア、必然的に新しいバグを含んでいるでしょうIPv6、およびDNSセキュリティ拡張機能(DNSSEC)の予想広範な展開、です。
This section summarizes three aspects of the workshop discussions. We first collected the major vulnerabilities mentioned in the workshop, then made a summary of the existing solutions, and followed up with an examination of the effectiveness, or lack of it, of the existing solutions.
このセクションでは、ワークショップでの議論の三つの側面をまとめました。私たちはまず、ワークショップで述べた主要な脆弱性を収集した既存のソリューションの概要を作って、既存のソリューションの有効性の検討、またはそれの欠如、とフォローアップ。
Below is a list of known Internet vulnerabilities and issues around unwanted traffic.
以下は、既知のインターネットの脆弱性や不要なトラフィックの周りの問題のリストです。
o Packet source address spoofing: there has been speculation that attacks using spoofed source addresses are decreasing, due to the proliferation of botnets, which can be used to launch various attacks without using spoofed source addresses. It is certainly true that not all the attacks use spoofed addresses; however, many attacks, especially reflection attacks, do use spoofed source addresses.
Oパケットの送信元アドレスの偽装:偽装された送信元アドレスを使用した攻撃が原因偽装された送信元アドレスを使用せずに、さまざまな攻撃を開始するために使用することができボットネットの普及に、減少しているという憶測がありました。ないすべての攻撃は、偽装されたアドレスを使用することは確かに真実です。しかし、多くの攻撃、特に反射攻撃は、偽装された送信元アドレスを使用して行います。
o BGP route hijacking: in a survey conducted by Arbor Networks, route hijacking together with source address spoofing are listed as the two most critical vulnerabilities on the Internet. It has been observed that miscreants hijack bogon prefixes for spam message injections. Such hijacks do not affect normal packet delivery and thus have a low chance of being noticed.
O BGPルートのハイジャック:アーバーネットワークスが実施した調査では、送信元アドレスのスプーフィングと一緒にルートハイジャックは、インターネット上の2件の最も重大な脆弱性として記載されています。悪党がスパムメッセージの注射用bogon接頭辞を乗っ取ることが観察されています。このようなハイジャックは、通常のパケット配信に影響を与えるので、気付かれの低いチャンスがありません。
o Everything over HTTP: port scan attacks occur frequently in today's Internet, looking for open TCP or UDP ports through which to gain access to computers. The reaction from computer system management has been to close down all the unused ports, especially in firewalls. One result of this reaction is that application designers have moved to transporting all data communications over
O HTTPを介してすべて:ポートは、コンピュータへのアクセスを得るためにそこを通って開いたTCPやUDPポートを探して、今日のインターネットで頻繁に発生する攻撃をスキャンします。コンピュータ・システムの管理からの反応は、特にファイアウォールで、すべての未使用ポートを閉鎖することでした。この反応の一つの結果は、アプリケーション設計者は、以上のすべてのデータ通信を運ぶに移動したということです
HTTP to avoid firewall traversal issues. Transporting "everything over HTTP" does not block attacks but has simply moved the vulnerability from one place to another.
ファイアウォールトラバーサルの問題を回避するためにHTTP。 「HTTP経由のすべてを」輸送攻撃をブロックしませんが、単純に、ある場所から別の場所への脆弱性を移動しました。
o Everyone comes from Everywhere: in the earlier life of the Internet it had been possible to get some indication of the authenticity of traffic from a specific sender based for example on the Time To Live (TTL). The TTL would stay almost constant when traffic from a certain sender to a specific host entered an operators network, since the sender will "always" set the TTL to the same value. If a change in the TTL value occurred without an accompanying change in the routing, one could draw the conclusion that this was potential unwanted traffic. However, since hosts have become mobile, they may be roaming within an operator's network and the resulting path changes may put more (or less) hops between the source and the destination. Thus, it is no longer possible to interpret a change in the TTL value, even if it occurs without any corresponding change in routing, as an indication that the traffic has been subverted.
O誰もがどこからでも来る:インターネットの以前の生活の中で生存時間(TTL)に基づいて、例えば、特定の送信者からのトラフィックの真正性の何らかの指示を取得することが可能になっていました。送信者が「常に」と同じ値にTTLを設定しますので、特定のホストへの特定の送信者からのトラフィックは、事業者のネットワークに入ったときにTTLはほぼ一定にとどまります。 TTL値の変化は、ルーティングそれに伴う変更せずに発生した場合には、一つは、これは潜在的な不要なトラフィックだったという結論を引き出すことができます。ホストはモバイルになっているので、それらは、オペレータのネットワーク内でローミングすることができ、結果として得られる経路の変更は、より多くの(またはより少ない)を挿入することができる送信元と宛先間のホップ。したがって、トラフィックが打倒されたことを示すものとして、ルーティングの任意の対応する変化なしに発生しても、TTL値の変化を解釈することはもはや不可能です。
o Complex Network Authentication: Network authentication as it is used today is far too complex to be feasible for users to use effectively. It will also be difficult to make it work with new wireless access technologies.
O複雑なネットワーク認証:ネットワーク認証それが今日使用されているように、ユーザーが効果的に使用するために実行可能であることがあまりにも複雑です。また、新たな無線アクセス技術と連携させることが困難になります。
A possible scenario envisages a customers handset that is
initially on a corporate wireless network. If that customer
steps out of the corporate building, the handset may get
connected to the corporate network through a GPRS network. The
handset may then roam to a wireless LAN network when the user
enters a public area with a hotspot. Consequently, we need
authentication tools for cases when the underlying data link
layer technology changes quickly, possibly during a single
application session.
o Unused Security Tools: Vendors and standards have produced quite a number of useful security tools; however, not all, or even most, of them get used extensively.
O未使用のセキュリティツール:ベンダーとの規格は便利なセキュリティツールのかなりの数を生産しています。しかし、すべてではない、あるいはほとんど、それらの広範囲に慣れます。
Several engineering solutions exist that operators can deploy to defend the network against unwanted traffic. Adequate provisioning is one commonly used approach that can diminish the impact of DDoS on the Internet backbone. The solution that received most mentions at the workshop was BCP 38 on ingress filtering: universal deployment of
いくつかのエンジニアリングソリューションは、事業者は、不要なトラフィックに対してネットワークを守るために展開することができていることが存在します。適切なプロビジョニングは、インターネットバックボーン上のDDoS攻撃の影響を減少させることができる1つの一般的に使用されるアプローチです。ほとんどのワークショップで言及受信ソリューションは、入力フィルタリングにBCP 38だった:のユニバーサル展開
BCP 38 can effectively block DDoS attacks using spoofed source IP addresses. At present, Access Control List (ACL) and BGP null routing are the two tools most commonly used by network operators to mitigate DDoS attacks. They are effective in blocking DDoS attacks, especially when being applied at or near a victim's site.
BCP 38は、効果的に偽装された送信元のIPアドレスを使用してDDoS攻撃をブロックすることができます。現時点では、アクセス制御リスト(ACL)とBGPのヌルルーティングは、最も一般的にDDoS攻撃を軽減するために、ネットワークオペレータによって使用される2つのツールです。彼らは、被害者のサイトまたはその近傍で適用されている場合は特に、DDoS攻撃を遮断するのに効果的です。
Unfortunately, BCP 38 is not widely deployed today. BCP 38 may require device upgrades, and is considered tedious to configure and maintain. Although widespread deployment of BCP 38 could benefit the Internet as a whole, deployment by individual sites imposes a certain amount of cost to the site, and does not provide a direct and tangible benefit in return. In other words, BCP 38 suffers from a lack of deployment incentives.
残念ながら、BCP 38は、今日広く展開されていません。 BCP 38は、デバイスのアップグレードを必要とするかもしれない、と設定し、維持する面倒と考えられています。 BCP 38の広範な展開が全体としてインターネットに利益をもたらす可能性がありますが、個々のサイトによる展開は、サイトへの費用の一定量を課し、そして見返りに直接的かつ具体的な利益を提供していません。言い換えれば、BCP 38は、展開インセンティブの欠如に苦しんでいます。
Both BGP null routing and ACL have the drawback of relying on manual configuration and thus are labor intensive. In addition, they also suffer from blocking both attack and legitimate packets. There is also a potential that some tools could back-fire, e.g., an overly long ACL list might significantly slow down packet forwarding in a router.
BGPヌルルーティングとACLの両方が手動設定に依存するという欠点を有し、したがって労働集約的です。また、彼らはまた、攻撃と正当なパケットの両方をブロックに苦しみます。いくつかのツールがバック火をことができ、例えば、過度に長いACLリストが大幅にルータにパケット転送が遅くなるかもしれないという可能性もあります。
Unicast Reverse Path Filtering (uRPF), which is available on some routers, provides a means of implementing a restricted form of BCP 38 ingress filtering without the effort of maintaining ACLs. uRPF uses the routing table to check that a valid path back to the source exists. However, its effectiveness depends on the specificity of the routes against which source addresses are compared. The prevalence of asymmetric routing means that the strict uRPF test (where the route to the source must leave from the same interface on which the packet being tested arrived) may have to be replaced by the loose uRPF test (where the route may leave from any interface). The loose uRPF test is not a guarantee against all cases of address spoofing, and it may still be necessary to maintain an ACL to deal with exceptions.
いくつかのルータで提供され、ユニキャストリバースパスフィルタリング(のuRPF)は、ACLを維持する努力なしBCP 38イングレスフィルタリングの制限形態を実現する手段を提供します。 uRPFのは、有効なパスがソースに存在することを確認するためにルーティングテーブルを使用します。しかし、その効果は、ソース・アドレスが比較される経路の特異性に依存します。非対称ルーティングの有病率は、(ソースへの経路がテストされているパケットが到着した同じインターフェイスから出発しなければならない)、厳密なuRPFの試験ルートがどのから離れることができる緩いのuRPF試験(に置き換えなければならないかもしれないことを意味しますインタフェース)。緩いuRPFのテストは、アドレススプーフィングのすべてのケースに対して保証するものではありません、そしてまだ例外に対処するためのACLを維持する必要があるかもしれません。
A wide variety of commercial products is available for enterprise network protection. Three popular types of protection mechanisms are
商用製品の多種多様な企業ネットワークの保護のために利用可能です。保護メカニズムの3つの一般的なタイプです
o Firewalls: firewalls are perhaps the most widely deployed protection products. However, the effectiveness of firewalls in protecting enterprise confidential information can be weakened by spyware installed internally, and they are ineffective against attacks carried out from inside the perimeter established by the firewalls. Too often, spyware installation is a byproduct of installing other applications permitted by end users.
Oファイアウォール:ファイアウォールは、おそらく最も広く導入されている保護製品です。しかし、企業の機密情報を保護するファイアウォールの有効性は、内部的にインストールされ、スパイウェアによって弱体化することができ、そして、彼らはファイアウォールによって確立された境界線の内側から行わ攻撃に対して効果がありません。あまりにも頻繁に、スパイウェアのインストールは、エンドユーザーが許可され、他のアプリケーションをインストールするの副産物です。
o Application level gateways: these are becoming more widely used. However, because they require application-specific support, and in many cases they cache all the in-flight documents, configuration can be difficult and the costs high. Thus, enterprise network operators prefer network level protections over layer-7 solutions.
Oアプリケーションレベルゲートウェイ:これらは、より広く使用されるようになっています。しかし、彼らは、アプリケーション固有のサポートを必要とし、多くの場合、彼らはすべての飛行中のドキュメントをキャッシュしているため、構成が困難とコスト高くなることがあります。これにより、企業ネットワークオペレータは、レイヤ7ソリューションを介してネットワーク・レベルの保護を好みます。
o Anti-spam software: Anti-spam measures consume significant human resources. Current spam mitigation tools include blacklists and content filters. The more recent "learning" filters may help significantly reduce the human effort needed and decrease the number of both false positives and negatives.
Oアンチスパムソフトウェア:アンチスパム対策が重要な人的資源を消費します。現在のスパム対策ツールは、ブラックリストとコンテンツフィルタを含みます。より最近の「学習」フィルタが大幅に必要な人間の労力を削減し、偽陽性と陰性の両方の数を減らすに役立つことがあります。
A more recent development is computer admission control, where a computer is granted network access if and only if it belongs to a valid user and appears to have the most recent set of security patches installed. It is however a more expensive solution. A major remaining issue facing enterprise network operators is how to solve the user vulnerability problem and reduce reliance on user's understanding of the need for security maintenance.
より最近の開発は、コンピュータがネットワークアクセスを許可されたコンピュータのアドミッション制御、であるならば、それが有効なユーザーに所属してインストールセキュリティパッチの最新のセットを持っているように見える場合にのみ。しかし、より高価なソリューションです。企業ネットワーク事業者が直面している主要な残りの問題は、ユーザーの脆弱性の問題を解決し、セキュリティ維持の必要性を、ユーザの理解への依存を軽減する方法です。
Generally speaking, network and service operators do not have adequate tools for network problem diagnosis. The current approaches largely rely on the experience and skills of the operators, and on time-consuming manual operations. The same is true for mitigation tools against attacks.
一般的に言えば、ネットワークおよびサービス事業者は、ネットワーク問題の診断のための適切なツールを持っていません。現在のアプローチは、主に事業者の経験やスキルに、かつ時間のかかる手作業に頼っています。同じことは、攻撃に対する緩和ツールについても同様です。
The limited number of existing Internet protection measures have not been widely deployed. Deployment of security solutions requires resources which may not be available. It also requires education among the operational community to recognize the critical importance of patch installation and software upgrades; for example, a bug in the BIND packet was discovered and fixed in 2003, yet a number of DNS servers still run the old software today. Perhaps most importantly, a security solution must be designed with the right incentives to promote their deployment. Effective protection also requires coordination between competing network providers. For the time being, it is often difficult to even find the contact information for operators of other networks.
既存のインターネット保護対策の限られた数は、広く展開されていません。セキュリティソリューションの展開は使用できない場合がありますリソースを必要とします。また、パッチのインストールとソフトウェアのアップグレードの重要性を認識するように運用コミュニティの中で教育を必要とします。例えば、BINDパケット内のバグが発見され、2003年に固定し、まだDNSサーバの数は今も古いソフトウェアを実行します。おそらく最も重要なのは、セキュリティソリューションは、彼らの展開を促進するための権利インセンティブを設計する必要があります。効果的な保護も、競合するネットワークプロバイダ間の調整が必要となります。当分の間、それも他のネットワークの事業者の連絡先情報を見つけることがしばしば困難です。
A number of workshop participants shared the view that, if all the known engineering approaches and bug fixes were universally deployed, the Internet could have been enjoying a substantially reduced number of security problems today. In particular, the need for, and lack of, BCP 38 deployment was mentioned numerous times during the workshop. There is also a lack of enthusiasm about the routing security requirements document being developed by the IETF RPSEC (Routing Protocol Security) Working Group, which focuses heavily on cryptographically-based protection requirements. Not only would cryptographically-based solutions face the obstacle of funding for deployment, but also they are likely to bring with them their own set of problems.
ワークショップ参加者の数は、すべての既知の工学的アプローチとバグ修正が普遍的に配備された場合、インターネットはセキュリティ上の問題を実質的に減少した数の今日を楽しんでいたかもしれない、見解を共有しました。特に、の必要性、および、BCP 38の展開の欠如は、ワークショップ中に何度も言及されました。暗号技術ベースの保護要件に大きく焦点を当てIETF RPSEC(ルーティングプロトコルセキュリティ)ワーキンググループによって開発されたルーティングセキュリティ要件文書に関する熱意の欠如もあります。だけでなく、暗号ベースのでしょうソリューションを展開するための資金調達の障害に直面するだけでなく、彼らは彼らとの問題の独自のセットを持って来る可能性があります。
There exists an educational challenge to disseminate the knowledge needed for secure Internet usage and operations. Easily guessed passwords and plaintext password transmission are still common in many parts of the Internet. One common rumor claims that Cisco routers were shipped with a default password "cisco" and this was used by attackers to break into routers. In reality, operators often configure Cisco routers with that password, perhaps because of the difficulty of disseminating passwords to multiple maintainers. A similar problem exists for Juniper routers and other vendors' products.
安全なインターネットの利用と操作に必要な知識を普及するための教育の課題が存在します。簡単に推測パスワードと平文パスワードの送信は、インターネットの多くの地域ではまだ一般的です。一つの一般的な噂は、Ciscoルータは、デフォルトのパスワード「シスコ」に同梱され、これは、ルータに侵入する攻撃者によって使用されたと主張しています。現実には、事業者は多くの場合、おそらく理由は、複数のメンテナにパスワードを広めることの難しさを、そのパスワードでCiscoルータを設定します。同様の問題は、ジュニパーのルーターや他のベンダーの製品に存在します。
How to provide effective education to the Internet user community at large remains a great challenge. As mentioned earlier in this report, the existence of a large number of compromised hosts is one major source of the unwanted traffic problem, and the ultimate solution to this problem is a well-informed, vigilant user community.
どのように大規模でのインターネットユーザーコミュニティへの効果的な教育を提供することは大きな挑戦のまま。この報告書で前述したように、妥協多数のホストの存在は不要なトラフィックの問題の一つの主要な供給源であり、この問題の根本的な解決には十分な情報、警戒ユーザーコミュニティです。
One position made at the workshop is that, facing the problems of millions of vulnerable computers and lack of effective deterrence, protecting the Internet might require a fundamental change to the current Internet architecture, by replacing unconstrained open access to the Internet with strictly controlled access. Although the participants held different positions on this issue, a rough consensus was reached that, considering the overall picture, enforcing controlled access does not seem the best solution to Internet protection. Instead, the workshop identified a number of needs that should be satisfied to move towards a well protected Internet:
ワークショップで作られた一つの位置を厳密に制御アクセスしてインターネットに制約のないオープンアクセスを交換することにより、現在のインターネットアーキテクチャに根本的な変更を必要とするかもしれませんインターネットを保護し、脆弱なコンピュータや効果的な抑止力の欠如の何百万人もの問題に直面し、それです。参加者は、この問題に異なる位置を開催しますが、大まかなコンセンサスが全体像を考慮し、アクセス制御を強制することは、インターネットの保護に最適なソリューションをいないようだ、ということに達しました。その代わり、ワークショップでは、十分に保護ネットに向かって移動するために満たすべきニーズの数を特定しました。
o the need for risk assessment for service providers; at this time, we lack a commonly agreed bar for security assurance;
サービスプロバイダのためのリスク評価の必要性O;この時点で、我々は、セキュリティ保証のために一般的に合意されたバーが不足しています。
o the need to add traceability to allow tracking of abnormal behavior in the network, and
ネットワークの異常行動の追跡を可能にするトレーサビリティを追加する必要があり、O、および
o the need for liability if someone fails to follow recommended practices.
誰かが推奨プラクティスに従うことを失敗した場合の責任の必要性は、O。
Adding traceability has been difficult due to the distributed nature of the Internet. Collaboration among operators is a necessity in fighting cybercrimes. We must also pay attention to preparation for the next cycle of miscreant activity, and not devote all our efforts to fixing the existing problems. As discussed above, the current reactive approach to security problems is not a winning strategy.
トレーサビリティを追加することにより、インターネットの分散性に困難でした。事業者間のコラボレーションは、戦いのサイバー犯罪で必要です。また、悪党の活動の次のサイクルの準備のために注意を払う、そして既存の問題を修正するには、すべての努力を傾注してはなりません。上述したように、セキュリティ上の問題への現在の反応性のアプローチは必勝法ではありません。
This section addresses the issues that vendors recognized as important and for which there will be solutions available in the near future.
このセクションでは、重要と認識ベンダーの問題に対処しているため、近い将来に利用可能なソリューションが存在します。
There are a number of potential solutions that vendors are working on, but are not yet offering as part of their product portfolio, that will allegedly remedy or diagnose the problems described in Section 4.1.
そこベンダーが取り組んでいる潜在的な解決策の数がありますが、まだ容疑者救済や4.1節で説明した問題を診断します彼らの製品ポートフォリオの一部として提供されていません。
Inevitably, when vendors have or are about to make a decision on implementing new features in their products but have not made any announcement, the vendors are not willing to talk about the new features openly, which limits what can be said in this section.
ベンダーが持っているか、自社製品に新しい機能を実装する上で決定を下すしようとしているが、いずれの発表を行っていないとき、必然的に、ベンダーは、このセクションで言うことができるものを制限する、公然と新機能について話して喜んではありません。
One idea is to build a Central Policy Repository that holds policies that are known to work properly, e.g., policies controlling from whom one would accept traffic when under attack. This repository could, for example, keep information on which neighbor router or AS is doing proper ingress address filtering. The repository could also hold the configurations that operators use to upgrade configurations on their routers.
ひとつのアイデアは、適切に攻撃を受けて1がトラフィックを受け入れるだろう誰から制御し、例えば、ポリシーを動作することが知られているポリシーを保持している中央ポリシーリポジトリを構築することです。このリポジトリには、例えば、隣接ルータまたはASが適切な進入アドレスフィルタリングをやってされている情報を保つことができます。リポジトリはまた、事業者はルータの設定をアップグレードするために使用する構成を保持することができます。
If such a repository is to be a shared resource used by multiple operators, it will necessarily require validation and authentication of the stored policies to ensure that the repository does not become the cause of vulnerabilities. Inevitably, this would mean that the information comes with a cost and it will only be viable if the sum of the reductions in individual operators' costs is greater than the costs of maintaining the repository.
そのようなリポジトリが複数のオペレータが使用する共有リソースにする場合、それは必ずしもリポジトリが脆弱性の原因となることがないように保存された政策の検証と認証が必要になります。必然的に、この情報はコストが付属していることを意味するであろうと、個々の事業者のコスト削減の合計はリポジトリを維持するためのコストよりも大きい場合にのみ実行可能となります。
A set of tools based on flow data is widely used to extract information from both network and data link layers. Tools have been built that can be used to find out the sources of almost any type of traffic, including certain unwanted traffic. These flow-based tools make it possible to do things like DDoS traceback, traffic/peering analyses, and detection of botnets, worms, and spyware.
フローデータに基づいて、ツールのセットが広くネットワークおよびデータリンク層の両方から情報を抽出するために使用されます。ツールは、特定の不要なトラフィックを含むトラフィックのほぼすべての種類のソースを見つけるために使用することができる構築されています。これらのフローベースのツールは、トラフィック/分析をピアリング、DDoS攻撃のトレースバックのようなものを行うことを可能にする、とボットネット、ワーム、およびスパイウェアの検出。
These tools monitor flows on the network and build baselines for what is the "normal" behavior. Once the baseline is available, it is possible to detect anomalous activity. It is easy to detect variations over time, and decide if the variation is legitimate or not. It is possible to take this approach further, typically involving the identification of signatures of particular types of traffic.
これらのツールは、ネットワーク上のフローを監視し、「正常な」行動である何のためのベースラインを構築します。ベースラインが利用可能になると、異常なアクティビティを検出することが可能です。時間の経過とともに変化を検出し、変化が正当なものであるかどうかを決定することは容易です。典型的には、トラフィックの特定のタイプのシグネチャの識別を含む、さらにこのアプローチを取ることが可能です。
These flow-based tools are analogous to the "sonar" that is used by navies to listen for submarines. Once a particular submarine is identified, it is possible to record its sonar signature to be used to provide rapid identification in the future when the same submarine is encountered again.
これらのフローベースのツールは、潜水艦をリッスンするために海軍で使用されている「ソナー」に類似しています。特定の潜水艦が識別されると、同じ潜水艦が再び検出された場合、将来的に迅速な同定を提供するために使用されるために、そのソナー署名を記録することができます。
Examples of existing tools include Cisco IOS NetFlow <http://www.cisco.com/en/US/products/ps6601/ products_ios_protocol_group_home.html>, sFlow <http://www.sflow.org/>, and NeTraMet <http://www.caida.org/tools/measurement/netramet/> based on the IETF RTFM and IPFIX standards.
既存のツールの例としては、Cisco IOS NetFlowの<http://www.cisco.com/en/US/products/ps6601/ products_ios_protocol_group_home.html>、sFlowの<http://www.sflow.org/>、およびNeTraMet <HTTPを含めます://www.caida.org/tools/measurement/netramet/> IETF RTFMとIPFIX標準規格に基づきます。
There are also tools for working with the output of NetFlow such as jFlow <http://www.net-track.ch/opensource/jflow/> and Arbor Networks' Peakflow <http://www.arbor.net/products_platform.php>.
このようjFlow <http://www.net-track.ch/opensource/jflow/>とアーバーネットワークスのPeakflow <http://www.arbor.net/products_platformなどのNetFlowの出力を操作するためのツールもあります。 PHP>。
The Cooperative Association for Internet Data Analysis (CAIDA) maintains a taxonomy of available tools on its web site at <http://www.caida.org/tools/taxonomy/index.xml>.
インターネットデータ分析のための協同組合(CAIDA)は、<http://www.caida.org/tools/taxonomy/index.xml>で、そのウェブサイト上で利用可能なツールの分類を維持しています。
The Internet Motion Sensor (IMS) [IMS] may be used to watch traffic to or from "Darknets" (routable prefixes that don't have end hosts attached), unassigned address spaces, and unannounced address spaces. By watching activities in these types of address spaces, one can understand and detect, e.g., scanning activities, DDoS worms, worm infected hosts, and misconfigured hosts.
インターネットモーションセンサー(IMS)は、[IMS]「Darknets」(付属のエンドホストを持っていないルーティング可能な接頭辞)、未割り当てのアドレス空間、および未発表のアドレス空間へまたはからのトラフィックを監視するために使用することができます。アドレス空間のこれらのタイプでの活動を見て、一つは、例えば、DDoS攻撃、ワーム、ワームに感染したホスト、および誤って設定ホストをスキャン活動を理解し、検出することができます。
Currently, the IMS is used to monitor approximately 17 million prefixes, about 1.2% of the IPv4 address space. The use of IMS has highlighted two major characteristics of attacks; malicious attacks are more targeted than one might have assumed, and a vulnerability in a system does not necessarily lead to a threat to that system (e.g., the vulnerability may not be exploited to launch attacks if the perceived "benefit" to the attacker appears small). Data from IMS and other sources indicates that attackers are making increased use of information from social networking sites to target their attacks and select perceived easy targets, such as computers running very old versions of systems or new, unpatched vulnerabilities.
現在、IMSは約1700万プレフィックス、IPv4アドレス空間のおよそ1.2%を監視するために使用されます。 IMSの使用は、攻撃の二つの主要な特徴を強調しています。悪意のある攻撃は1を想定しているかもしれないより多くのターゲットであり、システムの脆弱性は、必ずしもそのシステムへの脅威にはならない(例えば、脆弱性が攻撃者に認識される「利益」は、小さな表示された場合は攻撃を開始するために利用することはできません)。 IMSおよび他のソースからのデータは、攻撃者が攻撃を対象とし、システムや新、パッチが適用されていない脆弱性の非常に古いバージョンを実行しているコンピュータなどの知覚簡単にターゲットを選択するために、ソーシャルネットワーキングサイトからの情報の使用の増加を作っていることを示しています。
This form of passive data collection is also known as a "Network Telescope". Links to similar tools can be found on the CAIDA web site at <http://www.caida.org/data/passive/network_telescope.xml>.
受動的データ収集のこの形式は、「ネットワーク望遠鏡」として知られています。同様のツールへのリンクは、<http://www.caida.org/data/passive/network_telescope.xml>でCAIDAのウェブサイトに掲載されています。
In the year 2000, the IETF developed a set of recommendations to limit DOS attacks and Address Spoofing published as BCP 38 [RFC2827], "Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing". However, up to now BCP 38 capabilities still have not been widely deployed, perhaps due to the incentive issue discussed earlier.
2000年には、IETFは、BCP 38 [RFC2827]として発行され、DOS攻撃やアドレススプーフィングを、「:IP Source Address Spoofingを使うサービス拒否攻撃を破り、ネットワーク入力フィルタリング」を制限する勧告のセットを開発しました。しかし、今までのBCP 38の能力はまだ広くおそらく前述したインセンティブの問題に、展開されていません。
The IETF has also developed an additional set of recommendations extending BCP 38 to multihomed networks. These recommendations are published as BCP 84 [RFC3704].
IETFはまた、マルチホームネットワークにBCP 38を拡張お薦めの追加セットを開発しました。これらの推奨事項は、BCP 84 [RFC3704]として公開されています。
Tools are being developed that will make it possible to perform deep packet inspection at high speed. Some companies are working on hardware implementation to inspect all layers from 2 to 7 (e.g., EZchip <http://www.ezchip.com/t_npu_whpaper.htm>). A number of other companies, including Cisco and Juniper, offer tools capable of analyzing packets at the transport layer and above.
ツールには、高速でディープパケットインスペクションを実行することを可能にしますが開発されています。一部の企業は2から7までのすべての層を検査するために、ハードウェアの実装に取り組んでいる(例えば、EZchip <http://www.ezchip.com/t_npu_whpaper.htm>)。シスコやジュニパーなど、他の企業の数は、トランスポート層以上でパケットを分析することができるツールを提供しています。
One idea that was discussed at the workshop envisaged operators and standards bodies cooperating to produce a set of "How To" documents as guidelines on how to configure networks. Dissemination and use of these "How To's" should be encouraged by vendors, operators, and standards bodies.
ワークショップで議論された一つのアイデアは、ネットワークの設定方法のガイドラインとして「どのようにするには、」ドキュメントのセットを生成するために協力する事業者や標準化団体を想定しました。これらの普及と利用は「どうだために、」ベンダー、演算子、および標準化団体によって奨励されるべきです。
This type of initiative needs a "sponsor" or "champion" that takes the lead and starts collecting a set of "How To's" that could be freely distributed. The workshop did not discuss this further.
イニシアチブのこのタイプはリードを取り、自由に配布することができ、「どうだするには」のセットの収集を開始し、「スポンサー」や「チャンピオン」を必要とします。ワークショップでは、これをさらに議論しませんでした。
Methods to discourage the dissemination of spam by punishing the spammers, such as Spam Harassment Reduction via Economic Disincentive (SHRED) [SHRED], were discussed. The idea is to make it increasingly expensive for spammers to use the email system, while normal users retain what they have come to expect as normal service. There was no agreement on the effectiveness of this type of system.
経済阻害要因(SHRED)[SHRED]を経由して、このようなスパム・ハラスメントの削減などスパマーを罰することで、スパムの普及を阻止するための方法は、議論されました。アイデアは、スパマーが電子メールシステムを使用するため、通常のユーザーは、通常のサービスとして期待してきたものを保持している間、それはますます高価にすることです。このタイプのシステムの有効性に関する合意はなかったです。
In preparation for this session, several researchers active in Internet Research were asked two rather open ended questions: "Where is the focus on Internet research today?" and "Where should it be?"
このセッションのための準備では、インターネット調査に積極的にいくつかの研究者が2つのではなく、オープンエンドの質問をした:「どこにインターネット調査今日の焦点はあります?」そして、「それはどこにすべきですか?」
A summary of the answers to these questions is given below. Section 6.2.2 covers part of the relationship between research and miscreants. For example, research activities in each area (please refer to the slide set for Workshop Session 8 which can be found at the link referred to in Appendix C).
これらの質問に対する答えの概要は以下のとおりです。 6.2.2項では、研究と悪党との間の関係の一部を覆っています。例えば、各領域における研究活動は、(付録Cにいうリンクで見つけることができるワークショップセッション8に設定されたスライドをご参照ください)。
Section 6.1 discusses briefly areas where we see active research on unwanted traffic today.
6.1節では、我々は今日、不要なトラフィックに活発な研究を参照してください簡単に領域を説明します。
One area where researchers are very active is analyzing situations where hosts are exploited. This has been a major focus for a long time, and an abundance of reports have been published. Current research may be divided into three different categories: prevention, detection, and defense.
研究者は非常にアクティブになっている一つの領域は、ホストが悪用される状況を分析しています。これは、長い時間のための主要な焦点となっている、と報告書の存在量が公表されています。予防、検出、および防衛:現在の研究は、3つのカテゴリーに分けることができます。
Code quality is crucial when it comes to preventing exploitation of Internet hosts. Quite a bit of research effort has therefore gone into improvement of code quality. Researchers are looking into automated methods for finding bugs and maybe in the end fixes for any bugs detected.
それはインターネットホストの悪用を防止することになると、コードの品質が非常に重要です。研究努力のかなりしたがって、コード品質の向上に行ってきました。研究者は、バグを見つけるための、多分検出されたバグのためのエンド修正で自動化された方法を検討しています。
A second approach designed to stop hosts from becoming compromised is to reduce the "attack surface". Researchers are thinking about changes or extensions to the Internet architecture. The idea is to create a strict client server architecture, where the clients only are allowed to initiate connections, and while servers may only accept connections.
妥協になってからホストを停止するように設計された第2のアプローチは、「攻撃面」を低減することです。研究者は、インターネットアーキテクチャの変更や拡張を考えています。アイデアは、クライアントが接続だけを開始することを許可されている、とサーバーが接続のみを受け入れるかもしれないが、厳密なクライアント・サーバ・アーキテクチャを作成することです。
Researchers have put a lot of effort into better scaling of honey pots and honey farms to better understand and neutralize the methods miscreants are using to exploit hosts. Research also goes into developing honey monkeys in order to understand how hosts are vulnerable. Both honey pots/farms and honey monkeys are aimed at taking measures that prevent further (mis-)use of possible exploits.
研究者は、より良い悪党がホストを利用するために使用されている方法を理解して中和するためにハニーポットとハニーファームのより良いスケーリングに多くの労力を入れています。研究はまた、ホストが脆弱であるかを理解するために、蜂蜜の猿の開発に入ります。ハニーポット/農場や蜂蜜サルの両方が可能なエクスプロイトの更なる(誤)使用を防止する対策を講じを目的としています。
When an attack is launched against a computer system, the attack typically leaves evidence of the intrusion in the system logs. Each type of intrusion leaves a specific kind of footprint or signature. The signature can be evidence that certain software has been executed, that logins have failed, that administrative privileges have been misused, or that particular files and directories have been accessed. Administrators can document these attack signatures and use them to detect the same type of attack in the future. This process can be automated.
攻撃は、コンピュータシステムに対して起動されると、攻撃は通常、システムログに侵入の証拠を残します。侵入の各タイプには、フットプリントや署名の特定の種類を残します。署名はログインが管理者権限が誤用されていることを、失敗した、またはその特定のファイルやディレクトリがアクセスされていることを、特定のソフトウェアが実行されたことを証拠とすることができます。管理者は、これらの攻撃シグネチャを文書化し、将来的には、攻撃の同じ種類を検出するためにそれらを使用することができます。このプロセスを自動化することができます。
Because each signature is different, it is possible for system administrators to determine by looking at the intrusion signature what the intrusion was, how and when it was perpetrated, and even how skilled the intruder is.
各署名が異なるため、システム管理者は、侵入が何であったか、侵入シグネチャを見て、判断するのか、いつそれが犯されたことは、可能であり、侵入者がいるにもどのように熟練しました。
Once an attack signature is available, it can be used to create a vulnerability filter, i.e., the stored attack signature is compared to actual events in real time and an alarm is given when this pattern is repeated.
攻撃シグネチャが利用可能になると、脆弱性フィルタを作成するために使用することができ、すなわち、格納された攻撃のシグネチャは、リアルタイムで実際のイベントと比較され、このパターンが繰り返されると、アラームが与えられます。
A further step may be taken with automated vulnerability signatures, i.e., when a new type of attack is found, a vulnerability filter is automatically created. This vulnerability filter can be made available for nodes to defend themselves against this new type of attack. The automated vulnerability signatures may be part of an Intrusion Detection System (IDS).
さらなるステップ、すなわち自動脆弱性シグネチャ、で撮影することができる、攻撃の新しいタイプが発見された場合、脆弱性フィルタが自動的に作成されます。ノードは、攻撃のこの新しいタイプから身を守るためにするためにこの脆弱性フィルタを利用することができます。自動化された脆弱性シグネチャは、侵入検知システム(IDS)の一部であってもよいです。
An IDS can be a part of the defense against actual attacks, e.g., by using vulnerability filters. An Intrusion Detection System (IDS) inspects inbound and outbound network activities and detects signatures that indicate that a system is under attack from someone attempting to break into or compromise the system.
IDSは脆弱性フィルタを使用することにより、例えば、実際の攻撃に対する防御の一部にすることができます。侵入検知システム(IDS)は、インバウンドとアウトバウンドのネットワーク活動を検査し、システムがシステムに侵入したり妥協しようとする人から攻撃を受けていることを示している署名を検出します。
Research on DDoS attacks follows two separate approaches, the first has the application as its focus, while the second focuses on the network.
DDoS攻撃の研究は、第二のネットワークに焦点を当てながら、最初は、その焦点としての用途を有する2つの別々のアプローチに従っています。
The key issue with application oriented research is to distinguish between legitimate activities and attacks. Today, several tools exist that can do this and research has moved on to more advanced things.
アプリケーション指向の研究で重要な問題は、合法的な活動や攻撃を区別することです。今日では、いくつかのツールは、それがこれを行うことができ、研究は、より高度なものへと移動している存在します。
Research today looks into tools that can detect and filter activities that have been generated by bots and botnets.
リサーチは本日、ボットやボットネットによって生成された検出が可能なツールやフィルタ活動に見えます。
One approach is to set up a tool that sends challenges to senders that want to send traffic to a certain node. The potential sender then has to respond correctly to that challenge; otherwise, the traffic will be filtered out.
一つのアプローチは、特定のノードにトラフィックを送信する送信者に課題を送信ツールを設定することです。潜在的な送信者は、その挑戦に正しく応答する必要があります。それ以外の場合は、トラフィックが除外されます。
The alternative is to get more capacity between sender and receiver. This is done primarily by some form of use of peer-to-peer technology.
代替は、送信者と受信者の間でより多くの容量を得ることです。これは主に、ピア・ツー・ピア技術の使用のいくつかの形式で行われます。
Today, there is "peer-to-peer hype" in the research community; a sure way of making yourself known as a researcher is to publish something that solves old problems by means of some peer-to-peer technology. Proposals now exist for peer-to-peer DNS, peer-to-peer backup solutions, peer-to-peer web-cast, etc. Whether these proposals can live up to the hype remains to be seen.
今日では、研究コミュニティにおける「ピア・ツー・ピア誇大広告」があります。自分が研究者として知られて作るの確実な方法は、いくつかのピア・ツー・ピア技術によって、古い問題を解決し、何かを公開することです。提案は今、これらの提案は、誇大広告まで生きることができるかどうかは見守らなければならないなど、ピア・ツー・ピアDNS、ピア・ツー・ピアのバックアップソリューション、ピア・ツー・ピア・ウェブキャスト、のために存在します。
Research on DDoS attacks that takes a network oriented focus may be described by the following oversimplified three steps.
ネットワーク指向の焦点を取るDDoS攻撃の研究は、以下の単純化しすぎ三つのステップで説明することができます。
This rather uncomplicated scheme has to be carried out on high-speed links and interfaces. Automation is the only way of achieving this.
このかなり複雑でない方式は、高速リンクとインターフェイス上で実行されなければなりません。オートメーションは、これを達成する唯一の方法です。
One way of indirectly setting the "evil bit" is to use a normalized TTL. The logic goes: the TTL for traffic from this sender has always been "x", but has now suddenly become "y", without any corresponding change in routing. The conclusion is that someone is masquerading as the legitimate sender. Traffic with the "y" TTL is filtered out.
間接的に「悪ビット」を設定する一つの方法は、正規化されたTTLを使用することです。ロジックが行く:この送信者からのトラフィックのためのTTLは常に「X」でしたが、今突然ルーティングのあらゆる対応する変更せずに、「Y」となっています。結論は、誰かが正当な送信者を装っているということです。 「Y」TTLを持つトラフィックが除外されています。
Another idea is to give traffic received from ISPs that are known to do source address validation the "red carpet treatment", i.e., to set the "good bit". When an attack is detected, traffic from everyone that doesn't have the "good bit" is filtered out. Apart from reacting to the attack, this also give ISPs an incentive to do source address validation. If they don't do it, their peers won't set the "good bit" and the ISP's customers will suffer, dragging down their reputation.
もう一つのアイデアは、「良いビット」を設定し、すなわち「レッドカーペット治療」元アドレスの検証を行うことが知られているのISPから受信したトラフィックを与えることです。攻撃が検出されると、「良いビットを」持っていないすべての人からのトラフィックは除外されます。別に攻撃に反応から、これはまたのISPに送信元アドレスの検証を行うためのインセンティブを与えます。彼らはそれをしない場合は、そのピアは自分の評判を下にドラッグし、「良いビット」とISPの顧客が被るだろう設定しません。
Overlay networks can also be used to stop a DDoS attack. The idea here is that traffic is not routed directly to the destination. Instead, it is hidden behind some entry points in the overlay. The entry points make sure the sender is the host he claims he is, and in that case, marks the packet with a "magic bit". Packets lacking the "magic bit" are not forwarded on the overlay. This has good scaling properties; you only need to have enough capacity to tag the amount of traffic you want to receive, not the amount you actually receive.
オーバーレイネットワークはまた、DDoS攻撃を停止するために使用することができます。ここでの考え方は、トラフィックが宛先に直接ルーティングされていないということです。代わりに、オーバーレイでいくつかのエントリポイントの後ろに隠れています。エントリポイントは、送信者は、彼が彼が主張し、その場合には、「魔法のビット」を持つパケットをマークしたホストであることを確認してください。 「魔法のビットを」欠けているパケットは、オーバーレイ上で転送されません。これは良いスケーリング特性を有しています。あなただけが受信するトラフィックの量ではなく、あなたが実際に受け取る金額をタグ付けするのに十分な能力を持っている必要があります。
Current research on spyware and measurements of spyware are aiming to find methods to understand when certain activities associated with spyware happen and to understand the impact of this activity.
スパイウェアやスパイウェアの測定に関する現在の研究は、スパイウェアに関連する特定の活動が起こると、この活動の影響を理解する際に理解するための方法を見出すことを目指しています。
There are a number of research activities around spyware, e.g., looking into threats caused by spyware; however, these were only briefly touched upon at the workshop.
研究活動の数は、例えば、スパイウェアによって引き起こされる脅威を検討して、スパイウェアの周りにあります。しかし、これらは短時間だけのワークショップで触れました。
Lately, research has started to look into tools and support to answer the "What happened here?" question. These tools are called "forensic aids", and can be used to "recreate" an illegal activity just as the police do when working on a crime scene.
最近、研究がツールに見て、答えることを支援するために開始した「何がここで起こったのか?」質問。これらのツールは、「法医学エイズ」と呼ばれ、犯罪現場での作業時に警察は同じように違法行為を「再作成」するために使用することができます。
The techniques that these forensic aids take as their starting point involve the identification of a process or program that should not be present on a computer. The effort goes into building tools and methods that can trace the intruder back to its origin. Methods to understand how a specific output depends on a particular input also exist.
これらフォレンジック助剤は、その出発点として取る技術は、コンピュータ上に存在してはならないプロセスまたはプログラムの識別を含みます。努力が戻ってその起源に侵入者を追跡することができ、建物のツールと方法になります。特定の出力は、特定の入力にどのように依存するかを理解するための方法も存在します。
Measurements are always interesting for the research community, because they generate new data. Consequently, lots of effort goes into specifying how measurements should be performed and into development of measurement tools. Measurements have been useful in creating effective counter-measures against worms. Before measurements gave actual data of how worms behave, actions taken against worms were generally ineffective.
彼らは、新たなデータを生成するための測定は、研究コミュニティのために、常に興味深いものです。したがって、努力の多くは、測定が行われ、測定ツールの開発にすべきかを指定するに入ります。測定は、ワームに対する効果的な対策の作成に有用でした。測定はワームがどのように動作するかの実際のデータを与えた前に、ワームに対して行われたアクションは、一般的に効果がなかったです。
One aspect of research that closely relates to measurements is analysis. Earlier, it was common to look for the amount of traffic traversing certain transport ports. Lately, it has become common to tunnel "everything" over something else, and a shift has occurred towards looking for behavior and/or content. When you see a certain behavior or content over a protocol that is not supposed to behave in this way, it is likely that something bad is going on.
密接測定に関する研究の一の態様は、分析です。以前、特定のトランスポート・ポートを通過するトラフィックの量を探すのが一般的でした。最近、それは何か他のものの上にトンネル「すべて」に一般的になっている、とシフトは行動および/またはコンテンツを探している方に発生しました。あなたはこのように動作することが想定されていないプロトコルを介して特定の行動やコンテンツが表示されたら、悪い何かが起こっている可能性があります。
Since this is an arms race, the miscreants that use tunneling protocols have started to mimic the pattern of something that is acceptable.
これは軍拡競争であるので、トンネリングプロトコルを使用する悪党が許容され、何かのパターンを模倣し始めています。
The general IETF design guidelines for robust Internet protocols says: "Be liberal in what you receive and conservative in what you send". The downside is that most protocols believe what they get and as a consequence also get what they deserve. The IAB is intending to work on new design guidelines, e.g., rules of thumb and things you do and things you don't. This is not ready yet, but will be offered as input to a BCP in due course.
堅牢なインターネットプロトコルのための一般的なIETF設計ガイドラインは言う:「あなたが送る何であなたが受け取るものにリベラルと保守的です」。欠点は、ほとんどのプロトコルは、彼らが取得し、結果としても、彼らが値するものを得るものと考えているということです。 IABは、新設計のガイドライン、例えば、親指のルール、あなたは物事と物事あなたがいない上で動作するように意図されます。これは、まだ準備ができていないが、やがてBCPへの入力として提供されます。
An area where there is a potential overlap between standards people and researchers is protocol analysis languages. The protocol analysis languages could be used, for example, look for vulnerabilities.
標準人や研究者間の潜在的な重複があるエリアは、プロトコル解析言語です。プロトコル解析言語は、脆弱性を探し、例えば、使用することができます。
The workshop discussed the interface between people working in standardization organizations in general and IETF in particular on the one hand and people working with research on the other. The topic of discussion was broader than just "Unwanted traffic". Three topics were touched on: what motivates researchers, how to attract researchers to problems that are hindering or have been discovered in the context of standardization, and the sometimes rocky relations between the research community and the "bad boys".
ワークショップでは、一方では一般、特にIETFで標準化機関で働く人々や他の研究で働いている人との間のインタフェースを議論しました。議論のトピックは、単に「不要なトラフィック」よりも広くなりました。 3つのトピックは、上で触れた:研究者の動機、妨害されているか、標準化の文脈の中で発見された問題、および研究コミュニティの間で、時には岩の関係や「不良少年」への研究者を誘致する方法。
The workshop discussed how research and standardization could mutually support each other. Quite often there is a commonality of interest between the two groups. The IAB supports the Internet Research Task Force (IRTF) as a venue for Internet research. The delta between what is done and what could be is still substantial. The discussion focused on how standardization in general and the IETF in particular can get help from researchers.
ワークショップでは、研究と標準化が相互にサポートできるかについて議論しました。かなり頻繁に両群間で利害の共通性があります。 IABは、インターネット調査のための会場としてインターネット研究タスクフォース(IRTF)をサポートしています。行われていると、何が何ができるかの間のデルタは、まだかなりのものです。議論は、一般的に標準化し、特に、IETFは、研究者からの助けを得ることができる方法に焦点を当てました。
Since standardization organizations don't have the economic strength to simply finance the research they need or want, other means have to be used. One is to correctly and clearly communicate problems, another is to supply adequate and relevant information.
標準化団体は、単に彼らが必要とするか、またはたい研究資金を調達するために経済力を持っていないので、他の手段を使用しなければなりません。一つは、他の適切かつ適切な情報を提供することで、正確かつ明確に問題を伝えることです。
To attract the research community to work with standardization organizations, it is necessary to identify the real problems and state them in such a way that they are amenable to solution. General unspecified problems are of no use, e.g., "This is an impossible problem!" or "All the problems are because my users behave badly!"
標準化団体と連携する研究コミュニティを誘致するために、本当の問題を特定し、それらがソリューションに適しているような方法でそれらを述べることが必要です。一般の不特定の問題は役に立たない、例えば、「これが不可能な問題です!」または「私のユーザーがひどく振る舞うので、すべての問題があります!」
Instead, saying "This is an absolutely critical problem, and we have no idea how to solve it!" is much more attractive.
代わりに、「これは絶対的に重要な問題であり、我々はそれを解決する方法が分からない!」と言ってはるかに魅力的です。
The potential research problem should also be communicated in a way that is public. A researcher that wants to take on a problem is helped if she/he can point at a slide from NANOG or RIPE that identifies this problem.
潜在的な研究の問題も公開されている方法で伝達されなければなりません。彼女/彼は、この問題を識別しNANOGやRIPEからスライドを指し示すことができるかどうかの問題に取りたい研究者を助けています。
The way researchers go about solving problems is basically to identify all the existing constraints, and then relax one of the constraints and see what happens. Therefore, rock solid constraints are a show stopper, e.g., "We can't do that, because it has to go into an ASIC!". Real constraints have to be clearly communicated to and understood by the researcher.
研究者が問題を解決するについて行く方法は、すべての既存の制約を特定し、制約の1つを緩和し、何が起こるかを見るために基本的です。 「それはASICに行かなければならないので、我々はそれを行うことができない!」そのため、堅実な制約は、例えば、ショーストッパーです。本当の制約が明確に伝達し、研究者が理解する必要があります。
One reasonable way of fostering cooperation is to entice two or three people and have them write a paper on the problem. What will happen then is that this paper will be incrementally improved by other researchers. The vast majority of all research goes into improving on someone else's paper.
協力を促進する一つの合理的な方法は、2つまたは3つの人々を誘惑し、それらが問題に関する論文を書くことです。何その後、どうなることは、この論文は、インクリメンタルに他の研究者によって改善されるということです。すべての研究の大半は、誰か他の人の紙に向上させることになります。
A second important factor is to supply sufficient relevant information. New information that suggests possible ways to address new problems or improve on old or partial solutions to previously investigated problems are attractive. Often, understanding of important problems comes from the operator community; when trying to initiate research from a standards perspective, keeping operators in the loop may be beneficial.
第二の重要な要因は、十分な関連情報を提供することです。新しい問題に対処するか、古いまたは部分的な解決策に向上させることが可能な方法を提案し、新たな情報は、以前の問題が注目されている調査します。多くの場合、重要な問題を理解することは、オペレータのコミュニティから来ています。標準規格の観点から研究を開始しようとすると、ループ内の演算子を維持することが有益であるかもしれません。
Today, the research community is largely left on its own, and consequently tends to generate essentially random, untargeted results. If the right people in the standards community say the right things to the right people in the research community, it can literally focus hundreds of graduate students on a single problem. Problem statements and data are needed.
今日では、研究コミュニティは、主に独自に残され、その結果、本質的にランダム、目的外の結果を生成する傾向があります。標準化コミュニティの右の人が研究コミュニティの右の人々に正しいことを言うなら、それは文字通り、単一の問題に大学院生の数百人を集中することができます。問題文とデータが必要とされています。
A general problem with all research and development is that what can be used may also be misused. In some cases, miscreants have received help from research that was never intended.
すべての研究開発での一般的な問題は何を使用することができますすることも悪用されることです。いくつかのケースでは、悪党が意図されていませんでした研究からの支援を受けています。
There are several examples of Free Nets, i.e., networks designed to allow end-users to participate without revealing their identity or how and where they are connected to the network. The Free Nets are designed based on technologies such as onion routing or mix networks. Free Nets create anonymity that allows people to express opinions without having to reveal their true identity and thus can be used to promote free speech. However, these are tools that can also work just as well to hide illegal activities in democracies.
無料ネットのいくつかの例は、エンドユーザーが自分のアイデンティティや方法や場所には、ネットワークに接続されているを明らかにすることなく参加できるように設計された、すなわち、ネットワークがあります。無料ネットは、オニオン・ルーティングやミックスネットワークなどの技術に基づいて設計されています。無料ネットは、人々が自分の正体を明らかにしたので、言論の自由を促進するために使用することができずに意見を表明することを可能にする匿名を作成します。しかし、これらはまた、民主主義国家で違法行為を隠すために同じようにうまく機能することが可能なツールです。
Mix networks create hard-to-trace communications by using a chain of proxy servers. A message from a sender to a receiver passes by the chain of proxies. A message is encrypted with a layered encryption where each layer is understood by only one of the proxies in the chain; the actual message is the innermost layer. A mix network will achieve untraceable communication, even if all but one of the proxies are compromised by a potential tracer.
ネットワークがプロキシサーバのチェーンを使用して、ハード・ツー・トレースの通信を作成混ぜます。送信側から受信側へのメッセージは、プロキシのチェーンを通過します。メッセージは、各層が鎖中のプロキシのいずれか一方のみによって理解される層状の暗号化で暗号化されています。実際のメッセージは、最も内側の層です。ミックスネットワークは、プロキシのすべてが、1つは、潜在的なトレーサーによって侵害されている場合でも、追跡不可能な通信を実現します。
Onion routing is a technique for anonymous communication over a computer network; it is a technique that encodes routing information in a set of encrypted layers. Onion routing is a further development of mix networks.
オニオン・ルーティングは、コンピュータネットワーク上の匿名の通信のための技術です。それは暗号化された層の組にルーティング情報を符号化する技術です。オニオンルーティングはミックスネットワークのさらなる発展です。
Research projects have resulted in methods for distributed command and control, e.g., in the form of Distributed Hash Tables (DHT) and gossip protocols. This of course has legitimate uses, e.g., for security and reliability applications, but it also is extremely useful for DDoS attacks and unwanted traffic in general.
研究プロジェクトは、分散ハッシュテーブル(DHT)とゴシッププロトコルの形で、例えば、分散コマンドおよび制御のための方法をもたらしています。もちろんこれは、セキュリティと信頼性アプリケーションのために、例えば、合法的な用途がありますが、それはまた、一般的にDDoS攻撃や不要なトラフィックのために極めて有用です。
A lot of effort has gone into research around worms, the result is that we have a very good understanding of the characteristics of the technology associated with worms and how they behave. This is a very good basis when we want to protect against worms. The downside is that researchers also understand how to implement future worms, including knowledge on how to design faster worms that won't leave a footprint.
多くの努力がワームの周りに調査に行ってきました、結果は我々がワームやどのように振る舞うと関連する技術の特性を非常によく理解しているということです。これは、我々がワームから保護したい非常に良い基礎です。欠点は、研究者はまた、足跡を残していないが速いワームを設計する方法についての知識を含め、将来のワームを実装する方法を理解することです。
If we had an Aladdin's Lamp and could be granted anything we wanted in the context of remedying unwanted traffic or effects of such traffic - what would we wish for? The topic of this session was wishes, i.e., loosening the constraints that depend on what we have and focus on what we really want.
我々はアラジンのランプを持っていたし、私たちは、このようなトラフィックの不要なトラフィックや効果を改善する文脈で望んでいたものを付与することができれば - 私たちは何を望むのでしょうか?このセッションのテーマは、私たちが持っていると私たちは本当に欲しいものに焦点を当てるものに依存制約を緩め、希望、すなわちでした。
There certainly are lots of "wishes" around, not least of which is making things simpler and safer. On the other hand, very few of these wishes are clearly stated. One comment on this lack of clarity was that we are too busy putting out the fires of today and don't have the time to be thinking ahead.
確かに物事が簡単かつ安全に行っていない、少なくともその周りに「希望」、たくさんあります。一方、これらの要望の非常に少数が明記されています。明確性の欠如に一つのコメントは、私たちが今日の火を消す忙しすぎていると先に考えている時間がないということでした。
Operators at the workshop expressed a number of wishes that, if fulfilled, would help to improve and simplify security. The list below contains a number of examples of actions that ought to improve security. The content is still at the "wish-level", i.e., no effort has gone in to trying to understand the feasibility of realizing these wishes.
ワークショップでオペレータは、満たされている場合、セキュリティを向上し、簡素化するために役立つだろう希望の数を表します。以下のリストは、セキュリティを向上させるべき行動の多くの例が含まれています。コンテンツは、すなわち、何の努力はこれらの願いを実現する可能性を理解しようとする中で行っていない、「願いレベル」のままです。
Wish: Reliable point of contact in each administrative domain for security coordination. First and foremost, operators would like to see correct and complete contact information to coordinate security problems across operators.
ウィッシュ:セキュリティの調整のための各管理ドメイン内の接触の信頼性の高いポイント。まず第一に、事業者は、事業者間でのセキュリティ上の問題を調整するために正しいと完全な連絡先情報を確認したいと思います。
The "whois" database of registration details for IP addresses and Autonomous System numbers held by Regional Internet Registries (e.g., ARIN, RIPE, APNIC) was intended to be a directory for this type of information, and RFC 2142 [RFC2142] established common mailbox names for certain roles and services. There are several reasons why these tools are largely unused, including unwanted traffic.
IPアドレスと地域インターネットレジストリによって保持された自律システム番号の登録内容の「WHOIS」データベース(例えば、ARIN、RIPE、APNIC)は、この種の情報のためのディレクトリであることを意図して、RFC 2142 [RFC2142]は、共通のメールボックスを設置しました特定の役割とサービスの名前。不要なトラフィックを含むこれらのツールは、主に使用されていない理由はいくつかあります。
Wish: Organized testing for security. Today, new hardware and software are extensively tested for performance. There is almost no testing of this hardware and software for security.
ウィッシュ:セキュリティのための組織化テスト。今日では、新しいハードウェアとソフトウェアが広く性能を試験しています。セキュリティのため、このハードウェアとソフトウェアのほとんどのテストがあります。
Wish: Infrastructure or test bed for security. It would be good to have an organized infrastructure or test bed for testing of security for new products.
ウィッシュ:セキュリティのためのインフラやテストベッド。新製品のセキュリティをテストするために組織のインフラやテストベッドを持って良いでしょう。
Wish: Defaults for security. Equipment and software should come with a simple and effective default setting for security.
ウィッシュ:セキュリティのデフォルト値。機器やソフトウェアは、セキュリティのためのシンプルで効果的なデフォルト設定が付属していなければなりません。
Wish: Shared information regarding attacks. It would be useful to have an automated sharing mechanism for attacks, vulnerabilities, and sources of threats between network users and providers in order to meet attacks in a more timely and efficient manner.
ウィッシュ:攻撃に関する情報共有。よりタイムリーかつ効率的な方法で攻撃を満たすために攻撃、脆弱性、およびネットワークのユーザーとプロバイダ間の脅威の源のための自動化された共有メカニズムを有することが有用であろう。
Wish: Automatic filtering of unwanted traffic. It would be useful, not least for enterprises, to have mechanisms that would automatically filter out the unwanted traffic.
ウィッシュ:不要なトラフィックの自動フィルタリング。これは、自動的に不要なトラフィックをフィルタリングしまうメカニズムを持つことが、企業にとって少なくとも、有用ではないだろう。
Some filtering of spam, viruses, and malware that is sent by email is already practicable but inevitably is imperfect because it mainly relies on "heuristics" to identify the unwanted traffic. This is another example of the "arms race" between filtering and the ingenuity of spammers trying to evade the filters. This "wish" needs to be further discussed and developed to make it something that could be turned into practical ideas.
いくつかのスパムフィルタリング、ウイルス、および電子メールで送信されたマルウェアは、すでに実用的ですが、必然的に、それは主に不要なトラフィックを識別するために、「経験則」に依存しているため不完全です。これは、フィルタリングやフィルタを回避しようとしているスパマーの創意工夫の間の「軍拡競争」の別の例です。この「願い」は、さらに議論し、実用的なアイデアに変えることができ、それに何かを作るために開発する必要があります。
Wish: Fix Spam. A large fraction of the email traffic coming into enterprises today is spam, and consequently any fixes to the spam problem are very high on their priority list.
ウィッシュ:スパムを修正。今日の企業に入ってくる電子メールトラフィックの大部分は、スパムであり、その結果スパム問題への修正は、優先順位リスト上の非常に高いです。
The workshop spent its last two hours discussing the following question: What are the engineering (immediate and longer term) and research issues that might be pursued within the IETF and the IRTF, and what actions could the IAB take? The suggested actions can be summarized into three classes.
ワークショップでは、次の質問を議論し、その最後の2時間を費やし:IETFとIRTFの中に追求されるかもしれない、とIABは、どのような行動を取ることができるエンジニアリング(即時および長期)と研究課題は何ですか?提案されたアクションは、3つのクラスにまとめることができます。
The discussions during this concluding section raised a number of questions that touched upon the overall network architecture designs.
この結論部分の間に議論が全体的なネットワークアーキテクチャのデザインに触れ質問の数を提起しました。
o What should be the roles of cryptographic mechanisms in the overall Internet architecture? For example, do we need to apply cryptographic mechanisms to harden the shell, or rely on deep packet inspection to filter out bad traffic?
O何が全体的なインターネットアーキテクチャにおける暗号化メカニズムの役割をすべきですか?例えば、我々はシェルを硬化、または不正なトラフィックをフィルタリングするためにディープパケットインスペクションに依存する暗号メカニズムを適用する必要がありますか?
o To add effective protection to the Internet, how far are we willing to go in
oは、インターネットへの効果的な保護を追加するには、どこまで我々は中行くために喜んでいます
* curtailing its openness, and
*そのオープン性を断つと、
* increasing the system complexity?
*システムの複雑さを増しますか?
And what architectural principles do we need to preserve as we go along these paths?
建築どんな原則我々はこれらのパスに沿って行くように保存する必要がありますか?
o A simple risk analysis would suggest that an ideal attack target of minimal cost but maximal disruption is the core routing infrastructure. However, do we really need an unlinked and separately managed control plane to secure it? This requires a deep understanding of the architectural design trade-offs.
Oシンプルなリスク分析は、最小限のコストが、最大の混乱の理想的な攻撃対象は、コアルーティングインフラストラクチャであることを示唆しています。しかし、私たちは本当にそれを確保するためにリンクされていないと別々に管理コントロールプレーンが必要なのでしょうか?これは、建築設計のトレードオフの深い理解が必要です。
o Can we, and how do we, change the economic substructure? A special workshop was suggested as a next step to gain a better understanding of the question.
oは、私たちは、どのように我々は、経済的なサブ構造を変更することができますか?特別ワークショップは、質問のより良い理解を得るための次のステップとして示唆されました。
While answering the above hard questions may take some time and effort, several specific steps were suggested as medium or long term efforts to add protection to the Internet:
いくつかの時間と労力がかかることがあり、上記のハード質問に答える一方で、いくつかの具体的な手順は、インターネットへの保護を追加するための中長期的な努力として示唆されました。
o Tightening the security of the core routing infrastructure.
Oコアルーティングインフラストラクチャのセキュリティを締め付け。
o Cleaning up the Internet Routing Registry repository [IRR], and securing both the database and the access, so that it can be used for routing verifications.
O [IRR]インターネットルーティングレジストリ・リポジトリのクリーンアップ、及びそれがルーティング検証のために使用することができるように、データベースアクセスの両方を確保します。
o Take down botnets.
Oボットネットを降ろします。
o Although we do not have a magic wand to wave all the unwanted traffic off the Internet, we should be able to develop effective measures to reduce the unwanted traffic to a tiny fraction of its current volume and keep it under control.
私たちは、インターネットからすべての不要なトラフィックを振るための魔法の杖を持っていませんがO、我々はその現在のボリュームのほんの一部に不要なトラフィックを削減し、制御の下でそれを維持するための効果的な施策を展開することができるはずです。
o Community education, to try to ensure people *use* updated host, router, and ingress filtering BCPs.
Oコミュニティ教育は、*を使用*更新ホスト、ルータ、およびイングレスフィルタリングのBCP人を確保しようとします。
The IETF is recommended to take steps to carry out the following actions towards enhancing the network protection.
IETFは、ネットワーク保護を強化に向けた次のアクションを実行するための措置をとることをお勧めします。
o Update the host requirements RFC. The Internet host requirements ([RFC1122], [RFC1123]) were developed in 1989. The Internet has gone through fundamental changes since then, including the pervasive security threats. Thus, a new set of requirements is overdue.
Oホスト要件のRFCを更新します。インターネットホストの要件([RFC1122]、[RFC1123])は、インターネットが普及し、セキュリティ上の脅威など、それ以来根本的な変化、を経た1989年に開発されました。このように、要件の新しいセットが遅れて。
o Update the router requirements. The original router requirements [RFC1812] were developed in 1995. As with the host requirements, it is also overdue for an update.
Oルータの要件を更新します。元のルータ要件[RFC1812]は、ホストの要件と同様に1995年に開発され、それはまた、更新のために遅れます。
o Update ingress filtering (BCP 38 [RFC2827] and BCP 84 [RFC3704]).
O更新イングレスフィルタリング(BCP 38 [RFC2827]とBCP 84 [RFC3704])。
One immediate action that the IAB should carry out is to inform the community about the existence of the underground economy.
IABは、実行すべき一つの迅速な行動は、地下経済の存在を社会に知らせることです。
The IRTF is recommended to take further steps toward understanding the Underground Economy and to initiate research on developing effective countermeasures.
IRTFは、地下経済を理解するためのさらなるステップを取るようにし、効果的な対策の開発に関する研究を開始することをお勧めします。
Overall, the workshop attendees wish to raise the community's awareness of the underground economy. The community as a whole should undertake a systematic examination of the current situation and develop both near- and long-term plans.
全体的に、ワークショップの参加者は、地下経済の社会の意識を高めることを望みます。全体としてコミュニティは、現在の状況の系統的な調査に着手し、両方の近・長期計画を策定すべきです。
This section gives an overview of some of the key concepts and terminology used in this document. It is not intended to be complete, but is offered as a quick reference for the reader of the report.
このセクションでは、このドキュメントで使用される重要な概念と用語のいくつかの概要を説明します。完全であることを意図していないが、レポートの読者のためのクイックリファレンスとして提供されています。
ACL Access Control List in the context of Internet networking refers to a set of IP addresses or routing prefixes (layer 3 or Internet layer information), possibly combined with transport protocol port numbers (layer 4 or transport layer information). The layer 3 and/or layer 4 information in the packets making up a flow entering or leaving a device in the Internet is matched against the entries in an ACL to determine whether the packets should, for example, be allowed or denied access to some resources. The ACL effectively specifies a filter to be used on a flow of packets.
インターネットネットワーキングの文脈におけるACLアクセス制御リストは、おそらくトランスポートプロトコルポート番号(レイヤ4またはトランスポート層の情報)と組み合わせたIPアドレスまたはルーティングプレフィックス(レイヤ3又はインターネット層の情報)のセットを指します。インターネットに流れ入るを構成するか、デバイスを出るパケットのレイヤ3及び/又は層4の情報がパケットは、例えば、許可またはいくつかのリソースへのアクセスを拒否されるべきかどうかを判定するためにACL内のエントリと照合されます。 ACLは、効果的にパケットのフローで使用するフィルタを指定します。
BGP route hijacking Attack in which an inappropriate route is injected into the global routing system with the intent of diverting traffic from its intended recipient either as a DoS attack (q.v.) where the traffic is just dropped or as part of some wider attack on the recipient. Injecting spurious routes specifying addresses used for bogons can, for example, provide bogus assurance to email systems that spam is coming from legitimate addresses.
不適切な経路は、その意図された受信者からのトラフィックを流用する目的でグローバルルーティングシステムに注入されたBGP経路ハイジャック攻撃のいずれかのトラフィックがただドロップまたは受信者にいくつかの広い攻撃の一部としてされたDoS攻撃(QV)として。 bogonsのために使用されるアドレスを指定して、偽のルートを注入すること、例えば、スパムは正当なアドレスから来ている電子メールシステムに偽の保証を提供することができます。
Bogon A bogon is an IP packet that has a source address taken for a range of addresses that has not yet been allocated to legitimate users, or is a private [RFC1918] or reserved address [RFC3330].
Bogon A bogonはまだ正当なユーザに割り当てられていないアドレスの範囲に要する送信元アドレスを持つIPパケットであるか、またはプライベート[RFC1918]または予約アドレス[RFC3330]です。
Bogon prefix A bogon prefix is a route that should never appear in the Internet routing table, e.g., from the private or unallocated address blocks.
Bogonはbogon接頭辞がプライベートまたは未割り当てアドレスブロックから、例えば、インターネットルーティングテーブルに表示されることはありませんルートで付けます。
Bot A bot is common parlance on the Internet for a software program that is a software agent. A Bot interacts with other network services intended for people as if it were a real person. One typical use of bots is to gather information. The term is derived from the word "robot," reflecting the autonomous character in the "virtual robot"- ness of the concept. The most common bots are those that covertly install themselves on people's computers for malicious purposes, and that have been described as remote attack tools. Bots are sometimes called "zombies".
ボットボットは、ソフトウェア・エージェントであるソフトウェアプログラムのためのインターネット上の一般的な用語です。ボットは、それが実在の人物であるかのように人々のために意図した他のネットワークサービスと対話します。ボットの一つの典型的な使用は、情報を収集することです。コンセプトのネス - 用語は、自律「仮想ロボット」の文字を反映した「ロボット」という言葉に由来しています。最も一般的なボットは、密かに悪意のある目的のために、人々のコンピュータ上で自分自身をインストールするものであり、そしてそれは、リモート攻撃ツールとして記載されています。ボットは、時々「ゾンビ」と呼ばれています。
Botnet Botnet is a jargon term for a collection of software robots, or bots, which run autonomously. This can also refer to the network of computers using distributed computing software. While the term "botnet" can be used to refer to any group of bots, such as IRC bots, the word is generally used to refer to a collection of compromised machines running programs, usually referred to as worms, Trojan horses, or backdoors, under a common command and control infrastructure.
ボットネットボットネットは、自律的に動作するソフトウェアロボット、またはボットの収集のための専門用語の用語です。これはまた、分散コンピューティングソフトウェアを使用しているコンピュータのネットワークを参照することができます。用語「ボットネット」は、IRCボットのようなボットの任意のグループを指すために使用することができるが単語は、一般的にプログラムを実行妥協マシンの集合を指すために使用され、通常、ワーム、トロイの木馬、またはバックドアと称される共通のコマンドと制御インフラストラクチャの下で。
Click fraud Click fraud occurs in pay per click (PPC) advertising when a person, automated script, or computer program imitates a legitimate user of a web browser clicking on an ad for the purpose of generating an improper charge per click. Pay per click advertising is when operators of web sites act as publishers and offer clickable links from advertisers in exchange for a charge per click.
人、自動化されたスクリプト、またはコンピュータプログラムは、クリックあたりの不適切な電荷を発生させる目的のために広告をWebブラウザでクリックの正当な利用者を模倣したときにクリック詐欺は、クリック(PPC)広告の単価で発生詐欺をクリックしてください。クリック課金型広告のウェブサイトの事業者が発行者として働き、クリックあたりの料金と引き換えに、広告主からのクリック可能なリンクを提供する場合です。
Darknet A Darknet (also known as a Network Telescope, a Blackhole, or an Internet Sink) is a globally routed network that has no "real" machines attached and carries only a very small amount of specially crafted legitimate traffic. It is therefore easily possible to separate out and analyze unwanted traffic that can arise from a wide variety of events including misconfiguration (e.g., a human being mis-typing an IP address), malicious scanning of address space by hackers looking for vulnerable targets, backscatter from random source denial-of-service attacks, and the automated spread of malicious software called Internet worms.
(また、ネットワーク望遠鏡、ブラックホール、またはインターネットシンクとして知られている)ダークネットAダークネットは、添付のない「本物」のマシンを持っていないし、特別に細工された正当なトラフィックのごく少量を運ぶグローバルルーティングされたネットワークです。設定ミス(例えば、人間のIPアドレスを誤って入力して)、脆弱なターゲットを探しているハッカーによるアドレス空間の悪質なスキャン、後方散乱などのイベントの様々なから発生する可能性が不要なトラフィックを分離し、分析することが容易に可能ですランダムソースサービス拒否攻撃、およびインターネットワームと呼ばれる悪意のあるソフトウェアの自動化の広がりから。
Dirty affiliate program Affiliate programs are distributed marketing programs that recruit agents to promote a product or service. Affiliates get financially compensated for each sale associated with their unique 'affiliate ID.' Affiliates are normally instructed by the operator of the affiliate program to not break any laws while promoting the product or service. Sanctions (typically loss of unpaid commissions or removal from the affiliate program) are normally applied if the affiliate spams or otherwise violates the affiliate program's policies.
ダーティアフィリエイトプログラムアフィリエイトプログラムは、製品やサービスを促進するための薬剤を募集マーケティングプログラムを配布しています。アフィリエイトは、独自に関連付けられている各販売のために財政的に補償され得る「アフィリエイトID」。アフィリエイトは、通常、製品やサービスを促進しながら任意の法律を壊さないためにアフィリエイトプログラムのオペレータによって指示されています。アフィリエイトスパムかそうでない場合は、アフィリエイトプログラムのポリシーに違反した場合の制裁(未払い手数料やアフィリエイトプログラムからの除去の一般的損失)が正常に適用されます。
Dirty affiliate programs allow spamming, or if they do nominally prohibit spamming, they don't actually sanction violators. Dirty affiliate programs often promote illegal or deceptive products (prescription drugs distributed without regard to normal dispensing requirements, body part enlargement products, etc.), employ anonymous or untraceable affiliates, offer payment via anonymous online financial channels, and may fail to follow normal tax withholding and reporting practices.
ダーティアフィリエイトプログラムは、スパムを許可、または彼らは名目上のスパムを禁止しなければ、彼らは実際には違反者を制裁しないでください。ダーティアフィリエイトプログラムは、多くの場合、匿名または追跡不可能な関連会社を採用違法または詐欺的製品(通常、分配要件、身体の一部の拡大製品、などに関係なく、分散処方薬)を促進匿名のオンライン金融チャネルを介して支払いを提供し、通常の税に従わないこと源泉徴収および報告慣行。
DoS attack Denial-Of-Service attack, a type of attack on a network that is designed to bring the network to its knees by flooding it with useless traffic or otherwise blocking resources necessary to allow normal traffic flow.
DoS攻撃は、サービス拒否攻撃、無用なトラフィックとそれをあふれさせるか、そうでない場合は、通常のトラフィックフローを許可するために必要なリソースをブロックすることによって、その膝にネットワークを持って来るように設計されているネットワーク上の攻撃の種類を攻撃します。
DDoS attack Distributed Denial of Service, an attack where multiple compromised systems are used to target a single system causing a Denial of Service (DoS) attack.
DDoS攻撃は、サービス拒否、複数損なわシステムは、サービス拒否(DoS)攻撃を引き起こす単一のシステムを標的とするために使用されている攻撃を分散します。
Honey farm A honey farm is a set of honey pots working together.
ハニーファームは蜂蜜ファームは一緒に仕事ハニーポットのセットです。
Honey monkey A honey monkey is a honey pot in reverse; instead of sitting and waiting for miscreants, a honey monkey actively mimics the actions of a user surfing the Web. The honey monkey runs on virtual machines in order to detect exploit sites.
ハニーサルはちみつ猿は逆にハニーポットです。代わりに座って悪党を待つので、蜂蜜のサルは、積極的にネットサーフィンをするユーザの行動を模倣します。はちみつ猿は、サイトを活用検出するために、仮想マシン上で実行されます。
Honey pot A honey pot is a server attached to the Internet that acts as a decoy, attracting potential miscreants in order to study their activities and monitor how they are able to break into a system. Honeypots are designed to mimic systems that an intruder would like to break into but limit the intruder from having access to an entire network.
ハニーポットは、ハニーポットは、彼らの活動を研究し、それらがシステムに侵入することができますどのように監視するために、潜在的な悪党を集め、おとりとして機能し、インターネットに接続されたサーバです。ハニーポットは、侵入者がに侵入したが、ネットワーク全体へのアクセス権を持っていることから、侵入者を制限したいシステムを模倣するように設計されています。
IRC Internet Relay Chat is a form of instant communication over the Internet. It is mainly designed for group (many-to-many) communication in discussion forums called channels, but also allows one-to-one communication, originally standardized by RFC 1459 [RFC1459] but much improved and extended since its original invention. IRC clients rendezvous and exchange messages through IRC servers. IRC servers are run by many organizations for both benign and nefarious purposes.
IRCインターネットリレーチャットは、インターネットを介したインスタント通信の一形態です。これは主チャネルと呼ばれるディスカッションフォーラムのグループ(多対多)通信用に設計されただけでなく、元々RFC 1459 [RFC1459]が、はるかに改善され、元の発明以来、拡張によって標準化された1対1の通信を可能にします。 IRCサーバー経由IRCクライアントのランデブーとメッセージを交換します。 IRCサーバは良性と極悪非道な目的の両方のために多くの組織によって運営されています。
Malware Malware is software designed to infiltrate or damage a computer system, without the owner's informed consent. There are disagreements about the etymology of the term itself, the primary uncertainty being whether it is a portmanteau word (of "malicious" and "software") or simply composed of the prefix "mal-" and the morpheme "ware". Malware references the intent of the creator, rather than any particular features. It includes computer viruses, worms, Trojan horses, spyware, adware, and other malicious and unwanted software. In law, malware is sometimes known as a computer contaminant.
マルウェアマルウェアは、所有者のインフォームドコンセントなしに、コンピュータシステムに侵入または損傷するように設計されたソフトウェアです。用語自体の語源についての意見の相違がありますが、主な不確実性にはかばん語であるかどうかという(のは「悪質な」と「ソフトウェア」)、または単に接頭辞「mal-」と形態素「ウェア」で構成。マルウェアの参照、作成者の意図ではなく、いずれかの特定の機能を備えています。これは、コンピュータウイルス、ワーム、トロイの木馬、スパイウェア、アドウェア、およびその他の悪意のある不要なソフトウェアが含まれています。法律では、マルウェアは、時々、コンピュータ汚染物質として知られています。
Mix networks Mix networks create hard-to-trace communications by using a chain of proxy servers [MIX]. Each message is encrypted to each proxy; the resulting encryption is layered like a Russian doll with the message as the innermost layer. Even if all but one of the proxies are compromised by a tracer, untraceability is still achieved. More information can be found at <http://www.adastral.ucl.ac.uk/~helger/crypto/link/protocols/ mix.php>.
ネットワークミックスネットワークがプロキシサーバ[MIX]のチェーンを使用して、ハード・ツー・トレースの通信を作成混ぜます。各メッセージは、各プロキシに暗号化されます。結果の暗号化は最内層としてメッセージを持つロシアの人形のよう積層されています。プロキシの1つが、全てがトレーサによって侵害されたとしても、アントレーサビリティはまだ達成されています。詳細については、<http://www.adastral.ucl.ac.uk/~helger/crypto/link/protocols/ mix.php>で見つけることができます。
Onion routing Onion routing is a technique for anonymous communication over a computer network, it is a technique that encodes routing information in a set of encrypted layers. Onion routing is based on mix cascades (see mix networks (q.v.)). More information can be found at <http://www.onion-router.net/>.
オニオンルーティングオニオン・ルーティングは、コンピュータネットワーク上の匿名の通信のための技術であり、それは暗号化された層の組にルーティング情報を符号化する技術です。オニオンルーティングは(ミックスネットワーク(q.v.)を参照してください)ミックスカスケードに基づいています。詳細については、<http://www.onion-router.net/>で見つけることができます。
Phishing Phishing is a form of criminal activity using social engineering techniques. It is characterized by attempts to fraudulently acquire sensitive information, such as passwords and credit card details, by masquerading as a trustworthy person or business in an apparently official electronic communication. Phishing is typically carried out using spoofed websites, email, or an instant message. The term phishing derives from password harvesting and the use of increasingly sophisticated lures to "fish" for users' financial information and passwords.
フィッシングフィッシングは、ソーシャルエンジニアリングの技術を使用して、犯罪行為の一形態です。これは明らかに公式の電子通信に信頼できる人や企業を装うことで、パスワードやクレジットカード情報などの機密情報を不正に取得しようと、によって特徴付けられます。フィッシングは、一般的に偽装されたウェブサイト、電子メール、またはインスタントメッセージを使用して行われます。用語のフィッシングは、パスワード収穫し、ユーザーの財務情報とパスワードの「魚」にますます洗練されたルアーの使用に由来します。
Root access Access to a system with full administrative privileges bypassing any security restrictions placed on normal users. Derived from the name traditionally used for the 'superuser' on Unix systems.
通常のユーザーに配置されたすべてのセキュリティ制限をバイパスして、完全な管理者権限を持つシステムへのルートアクセスアクセス。伝統的なUnixシステムの「スーパーユーザ」のために使用される名前から派生。
Script kiddy Derogatory term for an inexperienced hacker who mindlessly uses scripts and other programs developed by others with the intent of compromising computers or generating DoS attacks.
無思慮にスクリプトやコンピュータを危険にさらすか、DoS攻撃を発生させることを意図して他の人によって開発された他のプログラムを使用して経験の浅いハッカーのためのスクリプトキディー蔑称。
Spam Spamming is the abuse of electronic messaging systems to send unsolicited, undesired bulk messages. The individual messages are refereed to as spam. The term is frequently used to refer specifically to the electronic mail form of spam.
スパムスパムは迷惑、望ましくない大量のメッセージを送信するための電子メッセージングシステムの乱用です。個々のメッセージはスパムと審判されています。用語が頻繁にスパムの電子メールフォームに特異的に参照するために使用されます。
Spoofing (IP) spoofing is a technique where the illegitimate source of IP packets is obfuscated by contriving to use IP address(es) that the receiver recognizes as a legitimate source. Spoofing is often used to gain unauthorized access to computers or mislead filtering mechanisms, whereby the intruder sends packets into the network with an IP source address indicating that the message is coming from a legitimate host. To engage in IP spoofing, a hacker must first use a variety of techniques to find an IP address of a valid host and then modify the packet headers so that it appears that the packets are coming from that host.
スプーフィング(IP)スプーフィングは、IPパケットの不正なソースは、受信機が正当なソースとして認識するIPアドレスを使用するように工夫することにより難読化されている技術です。スプーフィングは、多くの場合、侵入者は、メッセージが正当なホストから来ていることを示すIPソースアドレスを持つネットワークにパケットを送信することにより、コンピュータへの不正アクセス、またはフィルタリングメカニズムを欺くために使用されます。 IPスプーフィングに従事するために、ハッカーは最初の有効なホストのIPアドレスを見つけるために、様々な技術を使用し、パケットがそのホストから来ているように見えるように、パケットヘッダを変更する必要があります。
Spyware Any software that covertly gathers user information through the user's Internet connection without his or her knowledge, e.g., for spam purposes.
ひそかスパム目的のために、例えば、彼または彼女の知識がなくてもユーザのインターネット接続を介してユーザ情報を密かに集めるソフトウェアです。
UBE Unsolicited Bulk Email: an official term for spam.
UBE迷惑メール:スパムのための公式の用語。
UCE Unsolicited Commercial Email: an official term for spam.
UCE迷惑な商用電子メール:スパムのための公式の用語。
Virus A program or piece of code that is loaded onto a computer without the owner's knowledge and runs without their consent. A virus is self-replicating code that spreads by inserting copies of itself into other executable code or documents, which are then transferred to other machines. Typically, the virus has a payload that causes some harm to the infected machine when the virus code is executed.
ウイルス所有者の知識がなくても、コンピュータ上にロードされ、彼らの同意なしに実行されるプログラムやコードの一部。ウイルスは、他のマシンに転送され、他の実行可能コードや文書、に自身のコピーを挿入することによって広がる自己複製コードです。一般的に、ウイルスは、ウイルスコードが実行されると、感染したマシンにいくつかの障害を与えてペイロードを持っています。
Worm A computer worm is a self-replicating computer program. It uses a network to send copies of itself to other systems and it may do so without any user intervention. Unlike a virus, it does not need to attach itself to an existing program. Worms always harm the network (if only by consuming bandwidth), whereas viruses always infect or corrupt files on a targeted computer.
ワームワームは、自己複製するコンピュータプログラムです。これは、他のシステムに自身のコピーを送信するためにネットワークを使用し、それがユーザーの介入なしにそれを行うことがあります。ウイルスとは異なり、それは既存のプログラムに自分自身を添付する必要はありません。ウイルスは常に対象のコンピュータ上のファイルに感染したり、破損のに対し、ワームは常に、ネットワーク(のみ帯域幅を消費したかを)傷つけます。
Zombie This is another name for a bot.
ゾンビこれは、ボットのための別の名前です。
This document does not specify any protocol or "bits on the wire".
このドキュメントは、任意のプロトコルまたは「ワイヤ上のビットを」指定されていません。
The IAB would like to thank the University of Southern California Information Sciences Institute (ISI) who hosted the workshop and all those people at ISI and elsewhere who assisted with the organization and logistics of the workshop at ISI.
IABは、ワークショップを主催し、ISIのワークショップの組織化と物流を支援し、すべての人々ISIで、他の場所南カリフォルニア情報科学研究所(ISI)の大学に感謝したいと思います。
The IAB would also like to thank the scribes listed in Appendix A who diligently recorded the proceedings during the workshop.
IABはまた、熱心にワークショップ中に議事録を記録し、付録Aに記載されている筆記者に感謝したいと思います。
A special thanks to all the participants in the workshop, who took the time, came to the workshop to participate in the discussions, and who put in the effort to make this workshop a success. The IAB especially appreciates the effort of those that prepared and made presentations at the workshop.
時間がかかったワークショップのすべての参加者への特別な感謝は、議論に参加するワークショップに来て、誰がこのワークショップを成功させるための努力に置きます。 IABは特に用意し、ワークショップでプレゼンテーションを行ったものの努力を高く評価しています。
[IMS] University of Michigan, "Internet Motion Sensor", 2006, <http://ims.eecs.umich.edu/>.
ミシガン州の[IMS]大学、 "インターネットモーションセンサー"、2006年、<http://ims.eecs.umich.edu/>。
[IRR] Merit Network Inc, "Internet Routing Registry Routing Assets Database", 2006, <http://www.irr.net/>.
[IRR]メリットネットワーク株式会社、 "インターネットルーティングレジストリルーティング資産データベース"、2006年、<http://www.irr.net/>。
[MIX] Hill, R., Hwang, A., and D. Molnar, "Approaches to Mix Nets", MIT 6.857 Final Project, December 1999, <http:// www.mit.edu/afs/athena/course/6/6.857/OldStuff/Fall99/ papers/mixnet.ps.gz>.
[MIX]ヒル、R.、黄、A.、およびD.モルナー、 "ネットをミックスするアプローチ"、MIT 6.857最終的なプロジェクト、1999年12月、<のhttp:// www.mit.edu/afs/athena/course/ 6 / 6.857 / OldStuff / Fall99 /論文/ mixnet.ps.gz>。
[RFC1122] Braden, R., "Requirements for Internet Hosts - Communication Layers", STD 3, RFC 1122, October 1989.
[RFC1122]ブレーデン、R.、 "インターネットホストのための要件 - 通信層"、STD 3、RFC 1122、1989年10月。
[RFC1123] Braden, R., "Requirements for Internet Hosts - Application and Support", STD 3, RFC 1123, October 1989.
[RFC1123]ブレーデン、R.、 "インターネットホストのための要件 - 、アプリケーションとサポート"、STD 3、RFC 1123、1989年10月。
[RFC1459] Oikarinen, J. and D. Reed, "Internet Relay Chat Protocol", RFC 1459, May 1993.
[RFC1459] Oikarinen、J.とD.リード、 "インターネットリレーチャットプロトコル"、RFC 1459、1993年5月。
[RFC1812] Baker, F., "Requirements for IP Version 4 Routers", RFC 1812, June 1995.
[RFC1812]ベイカー、F.、RFC 1812、1995年6月 "IPバージョン4つのルータのための要件"。
[RFC1918] Rekhter, Y., Moskowitz, R., Karrenberg, D., Groot, G., and E. Lear, "Address Allocation for Private Internets", BCP 5, RFC 1918, February 1996.
[RFC1918] Rekhter、Y.、モスコウィッツ、R.、Karrenberg、D.、グルート、G.、およびE.リア、 "個人的なインターネットのための配分"、BCP 5、RFC 1918、1996年2月。
[RFC2142] Crocker, D., "MAILBOX NAMES FOR COMMON SERVICES, ROLES AND FUNCTIONS", RFC 2142, May 1997.
[RFC2142]クロッカー、D.、 "COMMON SERVICES FORメールボックス名、役割・機能"、RFC 2142、1997年5月。
[RFC2827] Ferguson, P. and D. Senie, "Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing", BCP 38, RFC 2827, May 2000.
[RFC2827]ファーガソン、P.およびD. Senie、 "ネットワーク入力フィルタリング:IP Source Address Spoofingを使うサービス攻撃の敗北拒否"、BCP 38、RFC 2827、2000年5月。
[RFC3330] IANA, "Special-Use IPv4 Addresses", RFC 3330, September 2002.
[RFC3330] IANA、 "特殊用途IPv4アドレス"、RFC 3330、2002年9月。
[RFC3704] Baker, F. and P. Savola, "Ingress Filtering for Multihomed Networks", BCP 84, RFC 3704, March 2004.
[RFC3704]ベイカー、F.およびP. Savola、 "マルチホームネットワークの入力フィルタリング"、BCP 84、RFC 3704、2004年3月。
[SHRED] Krishnamurthy, B. and E. Blackmond, "SHRED: Spam Harassment Reduction via Economic Disincentives", 2003, <http://www.research.att.com/~bala/papers/shred-ext.ps>.
[SHRED] Krishnamurthy、B.およびE. Blackmond、 "SHRED:経済阻害要因を介したスパムハラスメントの削減"、2003年、<http://www.research.att.com/~bala/papers/shred-ext.ps>。
Appendix A. Participants in the Workshop
ワークショップでは、付録A.参加
Bernard Aboba (IAB) Loa Andersson (IAB) Ganesha Bhaskara (scribe) Bryan Burns Leslie Daigle (IAB chair) Sean Donelan Rich Draves (IAB Executive Director) Aaron Falk (IAB, IRTF chair) Robert Geigle Minas Gjoka (scribe) Barry Greene Sam Hartman (IESG, Security Area Director) Bob Hinden (IAB) Russ Housely (IESG, Security Area Director) Craig Huegen Cullen Jennings Rodney Joffe Mark Kosters Bala Krishnamurthy Gregory Lebovitz Ryan McDowell Danny McPherson Dave Merrill David Meyer (IAB) Alan Mitchell John Morris Eric Osterweil (scribe) Eric Rescorla (IAB) Pete Resnick (IAB) Stefan Savage Joe St Sauver Michael Sirivianos (scribe) Rob Thomas Helen Wang Lixia Zhang (IAB)
バーナードAboba(IAB)ロア・アンダーソン(IAB)ガネーシャBhaskara(スクライブ)ブライアン・バーンズレスリーDaigle氏(IABいす)ショーンDonelanリッチDraves(IABエグゼクティブ・ディレクター)アーロン・フォーク(IAB、IRTF議長)ロバートGeigleミナスGjoka(スクライブ)バリー・グリーンサムハートマン(IESG、セキュリティエリアディレクター)ボブHindenと(IAB)ラスHousely(IESG、セキュリティエリアディレクター)クレイグ・Huegenカレン・ジェニングスロドニー・ジョフィマークKostersバラKrishnamurthyグレゴリーLebovitzライアンマクドウェルダニー・マクファーソンデイブ・メリルデビッド・マイヤー(IAB)アラン・ミッチェルジョン・モリスエリックOsterweil(スクライブ)エリックレスコラ(IAB)ピート・レズニック(IAB)ステファン・サヴェージジョー・聖SauverマイケルSirivianos(スクライブ)ロブ・トーマスヘレン王Lixiaチャン(IAB)
Appendix B. Workshop Agenda
付録B.ワークショップアジェンダ
Session 1: How bad is the problem? What are the most important symptoms?
セッション1:問題は、どのように悪いのですか?最も重要な症状は何ですか?
Session 2: What are the sources of the problem?
セッション2:問題の原因は何ですか?
Lunch session (session 3): Solutions in regulatory and societal space
ランチセッション(セッション3):規制と社会的空間でのソリューション
Session 4: The underground economy
セッション4:地下経済
Session 5: Current countermeasures, what works, what doesn't
セッション5:現在の対策、どのような作品ではなく、何をしますか
Session 6: If all our wishes could be granted, what would they be?
セッション6:すべての私たちの願いを付与することができれば、彼らは何でしょうか?
Session 7: What's in the pipeline, or should be in the pipeline
セッション7:どのようなパイプラインでだ、またはパイプラインにする必要があります
Session 8: What is being actively researched on?
セッション8:何が活発に研究されていますか?
Session 9: What are the engineering (immediate and longer term) and research issues that might be pursued within the IETF/IAB/IRTF?
セッション9:エンジニアリング(即時および長期)およびIETF / IAB / IRTF以内に追求される可能性がある研究課題は何ですか?
Appendix C. Slides
付録C.スライド
Links to a subset of the presentations given by the participants at the workshop can be found via the IAB Workshops page on the IAB web site at <http://utgard.ietf.org/iab/about/workshops/unwantedtraffic/ index.html>. As mentioned in Section 1, this is not a complete set of the presentations because certain of the presentations were of a sensitive nature which it would be inappropriate to make public at this time.
ワークショップで参加者によって与えられたプレゼンテーションのサブセットへのリンクは<http://utgard.ietf.org/iab/about/workshops/unwantedtraffic/のindex.htmlでIABのウェブサイト上IABワークショップのページを経由して見つけることができます>。第1節で述べたように、プレゼンテーションの特定が、この時点で公衆を作ることが不適切である敏感な性質であったので、これはプレゼンテーションの完全なセットではありません。
Authors' Addresses
著者のアドレス
Loa Andersson Acreo AB
ロア・アンダーソンAcreo AB
EMail: loa@pi.se
メールアドレス:loa@pi.se
Elwyn Davies Folly Consulting
エルウィン・デイヴィスフォリーコンサルティング
EMail: elwynd@dial.pipex.com
メールアドレス:elwynd@dial.pipex.com
Lixia Zhang UCLA
リットルのI張UCLA
EMail: lixia@cs.ucla.edu
メールアドレス:lixia@cs.ucla.edu
Full Copyright Statement
完全な著作権声明
Copyright (C) The IETF Trust (2007).
著作権(C)IETFトラスト(2007)。
This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.
この文書では、BCP 78に含まれる権利と許可と制限の適用を受けており、その中の記載を除いて、作者は彼らのすべての権利を保有します。
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY, THE IETF TRUST AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
この文書とここに含まれている情報は、基礎とCONTRIBUTOR「そのまま」、ORGANIZATION HE / SHEが表すまたはインターネットSOCIETY、(もしあれば)を後援し、IETF TRUST ANDインターネットエンジニアリングタスクフォース放棄ALLに設けられています。保証は、明示または黙示、この情報の利用および特定目的に対する権利または商品性または適合性の黙示の保証を侵害しない任意の保証がこれらに限定されません。
Intellectual Property
知的財産
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.
IETFは、本書またはそのような権限下で、ライセンスがたりないかもしれない程度に記載された技術の実装や使用に関係すると主張される可能性があります任意の知的財産権やその他の権利の有効性または範囲に関していかなる位置を取りません利用可能です。またそれは、それがどのような権利を確認する独自の取り組みを行ったことを示すものでもありません。 RFC文書の権利に関する手続きの情報は、BCP 78およびBCP 79に記載されています。
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
IPRの開示のコピーが利用できるようにIETF事務局とライセンスの保証に行われた、または本仕様の実装者または利用者がそのような所有権の使用のための一般的なライセンスまたは許可を取得するために作られた試みの結果を得ることができますhttp://www.ietf.org/iprのIETFのオンラインIPRリポジトリから。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.
IETFは、その注意にこの標準を実装するために必要とされる技術をカバーすることができる任意の著作権、特許または特許出願、またはその他の所有権を持ってすべての利害関係者を招待します。 ietf-ipr@ietf.orgのIETFに情報を記述してください。
Acknowledgement
謝辞
Funding for the RFC Editor function is currently provided by the Internet Society.
RFC Editor機能のための基金は現在、インターネット協会によって提供されます。