=================================== __ /P▲ ◆ JPNIC News & Views vol.1212【定期号】2014.7.15 ◆ _/NIC =================================== ---------- PR -------------------------------------------------------- 企業の事業所間ネットワークやインターネット接続ならトークネットに。 法人・官公庁向けに21,000回線を超える実績があるサービスの紹介はこちら↓ http://www.tohknet.co.jp/ ◆○◆○◆○ 東北電力グループ TOHKnet(トークネット)◆○◆○◆○◆ ◆○◆○◆○ 会社名:東北インテリジェント通信株式会社 ◆○◆○◆○◆ ---------------------------------------------------------------------- ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ◆ News & Views vol.1212 です ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 昨年の2013年秋ごろに、ヨーロッパ地域ではASレベルのルーティングテーブ ルにおいて50万経路到達が観測されたという話がありましたが、日本でも、 今年の6月に到達したという話が聞こえて、ルーティングの世界も暑い夏を迎 えているようです。本号の特集では、増え続けるルーティングテーブルにま つわる話と今後に向けた考察についてまとめました。 また「インターネット1分用語解説」では、新gTLD増加によって注目されてい る名前衝突(Name Collision)でも話題になっている「サーチリスト」につい て取り上げています。 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ◆ 目次 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 【 1 】特集 「ルーティングテーブルの成長と脅威の現状 ~50万経路到達に寄せて~」 【 2 】News & Views Column 「インターネットの広がる数」 株式会社日本レジストリサービス 佐藤新太氏 【 3 】インターネット用語1分解説 「サーチリストとは」 【 4 】統計資料 1. JPドメイン名 2. IPアドレス 3. 会員数 4. 指定事業者数 【 5 】イベントカレンダー ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 【 1 】特集 「ルーティングテーブルの成長と脅威の現状 ~50万経路到達に寄せて~」 JPNIC 技術部 岡田雅之 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ■ はじめに ~ルーティングテーブルとは~ ルーティングテーブルは、インターネットにおけるパケットの宛先を管理す る基本の情報から構成されたデータベースであり、Autonomous System (AS) の間では常に情報交換が行われ、維持・更新されています。ルーティングテー ブルは、インターネットに参加する組織がそれぞれに自律・分散・協調の基 に生成しているため、ASごとやルータごとに少しずつ内容が異なっているの が現実ですが、ASレベルのルーティングテーブルの大きさや特性については、 大体似たような内容になっていると言われています。 ルーティングテーブルには、特に経路の情報がない場合に適用されるデフォ ルトルートが設定されることがあります。しかしASのルータにおいてデフォ ルトルートが設定されていない、本来のダイナミックなルーティングが行わ れているエリアはDefault Free Zone(DFZ)と呼ばれます。 DFZでは、ルータのルーティングテーブルにインターネットの経路情報のすべ てが必要になり、このすべての経路情報の数が日本でも50万を超えたことが 話題になっています。本稿では経路数の増加と50万への到達について分析す ると共に、それによっておこる事象にどう対応するか考察してみたいと思い ます。 ■ ルーティングテーブル観測状況 ルーティングテーブルは、その状態を表す指標として、古くからある観測点 でのルーティングテーブルの行数が重要とされ、観察されてきました。代表 的な情報としては、APNICのチーフサイエンティストであるGeoff Hueston氏 のWebサイトで、経緯も含め確認することができます。 - BGP Routing Table Analysis Report http://bgp.potaroo.net/ このサイトを見ると、1994年からのルーティングテーブルの状況が公開され ており、2013年末からの観測では50万経路数に到達していることが確認でき ます。 このGeoff Hueston氏の観測だけでなく、ルーティングテーブルの観測は世界 各地で行われ公開がなされており、RIPE NCCのRIS Rawデータなどを活用し、 誰でも集計が可能となっています。 ■ ルーティングテーブルを取り巻く歴史 日本でも50万を突破したルーティングテーブルですが、ここでは、Geoff Hueston氏のBGP Routing Table Analysis Reportの「Growth of BGP Table - 1994 to Present」のグラフを眺めながら歴史を振り返っていきたいと思いま す。 経路数の増加に注目して細かくグラフを確認しますと、1998年ごろから2001 年ごろにかけて、急激に増加する傾向を示しながら2001年にいったん伸びは 鈍化しています。この辺りの時期については、クラスレスなルーティング (CIDR)の導入が進み、経路の単位が細かくなったからではと予想されていま す。一方で、CIDR導入の効果が出始めたのが2001年ごろであったのかもしれ ません。 その後、2001年ごろから2012年ごろまでは、ところどころ突発的な増加は複 数観察されますが、大まかな傾向は変わらず経路数が増え続けています。そ の後、2011年に環太平洋地域が最初となった、IPv4アドレス在庫枯渇により、 2012年ごろからは以前と比較すると、伸びは鈍化しています。 ルーティングテーブルの増加は、そのこと自体はインターネットが成長し、 より活用が進んでいると解釈され、喜ばしいことかもしれませんが、運用者 にとっては悩ましい問題と認識されてきています。 例えば、ルータの性能的な制約により、ルーティングテーブルの最大サイズ が12万や25万行に制限されていたりしました。そのため、ハードウェアの更 新前にルーティングテーブルの成長に追いつかれそうになるのを運用者の努 力によりカバーしていたりして、表面化はしていませんが問題はあります。 また、ルータの機種によっては、購入時の状態では、上限が低くなっており、 経路数の上限を上げる設定が必要な場合もあります。この設定を忘れると機 種としてある一定以上の経路数に対応していても、ソフトウェア的に上限に 到達してしまい、再起動を繰り返す状態になってしまう場合もあります。 さらには、ルーティングテーブルの増大により、最適な経路の選択に時間を 要してしまうなどの問題も知られており、障害などの際の切り替え時間にシ ビアな組織は対応に苦慮しています。筆者が実行委員長を務める、2014年7 月のJANOG34においてもそういったプログラムが発表されますので、興味の ある方はぜひご参加ください。 - 参考:JANOG34ミーティング「フルルートやめたら人生変わった」 http://www.janog.gr.jp/meeting/janog34/program/fulrt.html ■ 増大するルーティングテーブルとその脅威 これまでお話しした通り、ルーティングテーブルはインターネットの運営に 不可欠な情報であり、その成長とともに増加してきました。これにより、ルー ティングテーブルにも誤った情報が伝わることも増加し、そのような事象は、 「Mis-Origination」、従来は「経路ハイジャック」などと呼ばれてきまし た。 最近では、ルーティングテーブルに誤って問題のある経路情報を広告してし まうケースだけではなく、Mis-Originationを道具として、中間者攻撃が疑わ れる事例が注目されています。ルーティングに関する観測を行っている組織 の一つであるRenesys社のBlogによると、2013年1月に観測された事例として、 メキシコからワシントンへの通信が、なぜかモスクワ経由となった事例が議 論されており、「何らかの意図でパケットが盗み見られているのでは?」と いった推測がなされています。 - Renesys Blog:The New Threat: Targeted Internet Traffic Misdirection http://www.renesys.com/2013/11/mitm-internet-hijacking/ このような経路のPATHに関する防御については、リソースPKI(RPKI)による 「PATH Validation」の普及が必要かもしれません。現在、普及の兆しが見え 始めたRPKIの活用は、経路の広告元であるOrigin ASのみを検証する「Origin Validation」です。IETFでは、経路の経由ASを守ることを目的として、PATH Validationについても議論が継続中であり、PATHを守るためのPATH Validationの普及には、もう少し時間が必要と思われます。 とは言え、中間者攻撃のきっかけとなるMis-Originationを防ぐだけでも相当 に効果があるとも言われており、RPKI/Route Origin Authorization (ROA)に よるOrigin Validationの普及も、ルーティングテーブルを守る最初の手段と して世界的に進みつつあります。 ■ おわりに 筆者が大規模なASの運用に従事していたのは10年近く前ですが、50万経路、 という言葉を聞いた時に、10年以上前の、"ルータのメモリが枯渇してリブー トしてしまったらどうしよう"、"次のルータ更新まで持たなかったらどういっ たコンフィグで回避しようか"等と常に心配していたころの思い出が脳裏に浮 かびました。きっと、現在も最前線で活躍中のエンジニアの方も悩みが尽き ないだろうなといった感想を抱きました。 本稿では、主としてルーティングテーブルをサイズの観点から紹介しました が、ルーティングのセキュリティも重要であり、RPKI/ROAの普及や啓発も必 要だ、ということも述べました。経路数の増加に伴い、ルーティングを脅か す事例は2014年度に入ってもたびたび発生しており、対策をすべき問題とし て認識されています。JPNICとして、RPKIの模擬環境を提供しており、今後に 向けてRPKIの活動も着実に進めつつ、今後もルーティングやルーティングテー ブルに関する話題を定期的に提供していきたいと考えています。 ┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓ ┃ ◆◇◆◇◆ 本特集のご感想をお聞かせください ◆◇◆◇◆ ┃ ┃良かった ┃ ┃→ http://feedback.nic.ad.jp/1212/77cfdbe7a8aa5890f86463c781ccd698┃ ┃ ┃ ┃悪かった ┃ ┃→ http://feedback.nic.ad.jp/1212/d579ed459630712f0e636826e8ed9ffd┃ ┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 【 2 】News & Views Column 「インターネットの広がる数」 株式会社日本レジストリサービス 佐藤新太 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ インターネットはまだまだ拡大を続けており、利用者も増加、提供されるサー ビスも次々新しいものが出てきているというのが、多くの人の印象と思いま す。20数年前に私が初めてインターネットに触れた頃は、メールやニュース によるテキスト情報を配送することが中心の利用方法でしたが、今は画像や 音声、動画が普通に使われ、扱うデータは複雑化、増大し、リアルタイムの コミュニケーションも多くなっています。 では、ここまで拡大したインターネットの活動を支えているシステムは、いっ たい何台くらいあるのでしょうか? 少し懐かしいところでは、JPNICでホスト カウントの試みが1999年頃に行われていました。これは、DNSのゾーンファイ ルに現れるホスト名を数えるものでした。同様の試みはRIPE NCC (Reseaux IP Europeens Network Coordination Centre)やISC (Internet Systems Consortium, Inc.)でも行われていましたが、今でも継続的にホストカウント をしているのは、ISCのDomain Surveyのようです。 ISCのホストカウントによると2014年1月の計測では、ホストの数はちょうど 10億を超えたところでした。10年前、2004年の1月には約2億3,000万であり、 この頃から2014年現在までは、ほぼリニアに増加中のようです。数だけ見て も、イメージしにくいですが、これだけの数のホストを誰かが管理運用して いると思うと、インターネットに係わる運用者の何と多いことか。 さて、ホストの数もさることながら、インターネットが広がるネタとしても う一つあるのがgTLDの増加です。2013年から新しいgTLDがルートゾーンに登 録され始めており、最終的には1,300ほどのgTLDが新たに動き出すことになり ます。これまでgTLDは、.comや.netをはじめとする約20に限られており、ま だ頭で覚えていられる範囲でしたが、1,000を超える数となると、もうTLDの 文字列をすべて把握するのは無理でしょう。 新gTLDの増加に伴い、新たに課題として取り上げられてきているのが「名前 衝突(Name Collision)」ですが、これはインターネットのドメイン名として は存在していない名前を、プライベートなシステムに付けて運用しているよ うな場合に起こる問題です。システム運用者で、TLDを取り巻く環境がここま で大きく変わることを予想していた人は、そう多くはなかったでしょう。今 のインターネットで当然と思っていることが、まだまだ変わるものだと、今 さらながら思い知らされました。私も検討メンバーとして参加した名前衝突 に対するJPNICの活動は、以下で見ることができます。 内部システムで利用しているドメイン名にご注意! ~名前衝突(Name Collision)問題の周知と対策実施のお願い~ https://www.nic.ad.jp/ja/topics/2014/20140609-01.html 今後どんな方向に、どんな形でインターネットが広がっていくのか、まだま だ想像がつきません。きっとインターネットなど意識せずに使っている今の 利用者が、思わぬ方向に話を広げてくれるのでしょう。楽しみです。 ■著者略歴 佐藤 新太(さとう しんた) 2001年株式会社日本レジストリサービス入社。JP DNSサーバー、レジストリ システム等の運用に従事。JPNIC新gTLD大量導入に伴うリスク検討・対策提言 専門家チームメンバー。 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 【 3 】インターネット用語1分解説 「サーチリストとは」 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ サーチリストは、DNS検索サフィックス、DNS suffix search listなどとも呼 ばれる、ユーザーがドメイン名を入力する手間を減らせるようにするための リストです。具体的にはDNSにおいて、名前解決の際にドメイン名を最後まで 入力しなくても、サーバやクライアントで補完がされるように、補完候補と なる文字列を順番に並べたものです。ユーザーがある名前の一部分を入力し た際に、サーチリストからドメイン名を一つずつ取り出し、ユーザーが入力 した名前の末尾に追加するといったように利用されます。多くのアプリケー ションやオペレーティングシステム(OS)などは、ユーザーの利便性向上のた めに、このサーチリスト機能を持っています。 例えば、あるユーザーの環境でサーチリストが、「tokyo.example.jp」、 「paris.example.jp」、「example.jp」と設定されている時に、ユーザーが Webブラウザに「www」と入力した場合、OSは「www.tokyo.example.jp」、 「www.paris.example.jp」、「www.example.jp」の順序でドメイン名を検索 するといったことがあります。 サーチリストは、RFC 1123(*1)など一連のRFC (*2)(*3)でおおまかに標準化 され、さまざまなOSなどで実装されていますが、処理方法について厳密な規 定はなく、OSやWebブラウザ、メールクライアントなどのアプリケーションご とに違った動作が行われます。そのため、実装によってはセキュリティやプ ライバシー上の問題が発生することが指摘されています。例えば、ユーザー が入力した文字列に対して、サーチリストによる補完が期待通りの動作をせ ず、本来ユーザーが意図したもの以外の文字列が、DNSの名前解決としてルー トサーバへ問い合わされてしまったり、Web検索エンジンへ検索文字列として 送られてしまったりする、ということが起こり得ます。また最近では、新た に登録されたgTLDと、内部向けの名前解決を目的として設定されているサー チリストによって補完された名前が衝突してしまい(*4)、新gTLDへのアクセ スや内部向けサービスの利用に、影響が出ることなどが懸念されています(*5)。 (*1) RFC 1123 "Requirements for Internet Hosts - Application and Support" https://tools.ietf.org/html/rfc1123 (*2) RFC 1535 "A Security Problem and Proposed Correction With Widely Deployed DNS Software" https://tools.ietf.org/html/rfc1535 (*3) RFC 1536 "Common DNS Implementation Errors and Suggested Fixes" https://tools.ietf.org/html/rfc1536 (*4) 名前衝突(Name Collision)問題 https://www.nic.ad.jp/ja/dom/new-gtld/name-collision/ (*5) SAC064 "SSAC Advisory on Search List Processing" https://www.icann.org/en/groups/ssac/documents/sac-064-en.pdf ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 【 4 】統計資料 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 1. JPドメイン名 o 登録ドメイン数(2014年2月~2014年7月) -------------------------------------------------------------------------------------------- 日付| AD AC CO GO OR NE GR ED LG GEO GA GJ PA PJ TOTAL -------------------------------------------------------------------------------------------- 2/1| 261 3534 362823 622 30175 15325 7067 4837 1840 2475 793570 126196 8551 2930 1360206 3/1| 262 3533 363523 624 30276 15300 7056 4844 1841 2470 794374 125842 8017 2803 1360765 4/1| 261 3541 364758 623 30422 15248 7038 4877 1841 2465 799385 125952 8154 3006 1367571 5/1| 261 3542 365647 623 30505 15233 7026 4888 1840 2463 801466 125261 8441 3078 1370274 6/1| 261 3539 366398 623 30655 15181 7006 4902 1841 2459 803609 124196 8588 3088 1372346 7/1| 261 3542 366921 617 30731 15128 6974 4918 1841 2454 805504 123801 8727 3041 1374460 -------------------------------------------------------------------------------------------- GA:汎用ドメイン名 ASCII(英数字) GJ:汎用ドメイン名 日本語 PA:都道府県型ドメイン名 ASCII(英数字) PJ:都道府県型ドメイン名 日本語 2. IPアドレス o JPNICからの割り振りとJPNICへの返却ホスト数(2014年1月~2014年6月) ------------------------------------------ 月 | 割振 | 返却 | 現在の総量 ------------------------------------------ 1 | 0 | 0 | 93004990 2 | 48128 | 49152 | 93003966 3 | 51200 | 51200 | 93003966 4 | 167936 | 167936 | 93003966 5 | 1024 | 0 | 93004990 6 | 2048 | 0 | 93007038 ------------------------------------------ □統計情報に関する詳細は → https://www.nic.ad.jp/ja/stat/ 3. 会員数 ※2014年7月8日 現在 --------------------- 会員分類 | 会員数 | --------------------- S会員 | 3 | A会員 | 1 | B会員 | 2 | C会員 | 2 | D会員 | 100 | 非営利会員| 10 | 個人推薦 | 33 | 賛助会員 | 39 | --------------------- 合計 | 190 | --------------------- □会員についての詳細は → https://www.nic.ad.jp/ja/member/list/ 4. 指定事業者数 ※2014年7月11日 現在 IPアドレス管理指定事業者数 400 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 【 5 】イベントカレンダー ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 2014.7.17(木)~18(金) JANOG34(香川、サンポートホール高松) 2014.7.20(日)~25(金) 90th IETF (Toronto, Canada) -------------------------------------------------------------------- 2014.8.1(金)~9(土) SANOG 24 (Delhi, India) 2014.8.11(月)~15(金) 38th APAN Meeting (Nantou, Taiwan) -------------------------------------------------------------------- 2014.9.2(火)~5(金) IGF 2014 (Istanbul, Turkey) 2014.9.9(火)~19(金) APNIC 38 (Brisbane, Australia) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ わからない用語については、【JPNIC用語集】をご参照ください。 https://www.nic.ad.jp/ja/tech/glossary.html ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ___________________________________ ■■■■■ JPNICの活動はJPNIC会員によって支えられています ■■■■■ ::::: 会員リスト ::::: https://www.nic.ad.jp/ja/member/list/ :::: 会員専用サイト :::: https://www.nic.ad.jp/member/ (PASSWORD有) □┓ ━━━ N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□ ┗┛ お問い合わせは jpnic-news@nic.ad.jp まで ┗┛  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ =================================== JPNIC News & Views vol.1212 【定期号】 @ 発行 一般社団法人 日本ネットワークインフォメーションセンター 101-0047 東京都千代田区内神田3-6-2 アーバンネット神田ビル4F @ 問い合わせ先 jpnic-news@nic.ad.jp =================================== ___________________________________ 本メールを転載・複製・再配布・引用される際には https://www.nic.ad.jp/ja/copyright.html をご確認ください  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ 登録・削除・変更 https://www.nic.ad.jp/ja/mailmagazine/ バックナンバー https://www.nic.ad.jp/ja/mailmagazine/backnumber/ ___________________________________ ■■■■■ News & ViewsはRSS経由でも配信しています! ■■■■■ ::::: https://www.nic.ad.jp/ja/mailmagazine/backnumber/index.xml :::::  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ■■◆ @ Japan Network Information Center ■■◆ @ https://www.nic.ad.jp/ ■■ Copyright(C), 2014 Japan Network Information Center