next up previous contents
Next: ICMP Up: プロトコル Previous: TCP

UDP

UDP はデータグラム通信であり、TCPのような信頼性のある通信手段は提供して いません。従って、そのヘッダも単純であり、ハンドシェークなどもないために フィルタリングには最も不得意な分野であると言ってもよいでしょう。実際、 UDPはしばしばセキュリティホールを提供しています。従って、UDPでの サービスは極力塞いでしまった方が良いでしょう。例外はDNSです。 DNSの問い合わせ(クエリー)は主にUDPで行われます。TCPでの問い合わせも プロトコル上正当なものですが、無視しても構わないでしょう。というのは、 プライマリーDNSとセカンダリーDNS間のゾーン転送はTCPで行われるからであり、 そのためにDNSに関してはTCPを塞いだ方が良いからです(例えば、DoS攻撃に よってセカンダリーDNSを潰し、セキュリティホールのあるセカンダリDNSに 偽のゾーン転送を行う事で、攻撃対象のサイトのDNSを書き換えてしまうような 事が可能になります)。

UDPも発信元IP,Port,送信先IP,Portをヘッダ情報として持っていますが、 受け側の実装としては発信元IP,Portに関係なく、同一の送信先に対応する プロセスに送られます。従って、外部からのUDPを受け入れる場合には、 接続先を限定し、その接続先のプロセスのセキュリティ管理を厳重に する、可能ならばプロクシ−などの手段を講じるなどの対策が必要です。



Noriyo Kanayama