UDPフラッドプロテクションによるエンベデッドネットワークembOS/IPの販売開始
[17/11/27]
提供元:DreamNews
提供元:DreamNews
ポジティブワン株式会社(本社:東京都渋谷区)は、ARM Cortexに対応したUDPフラッド(UDP Flood)プロテクション対応エンベデッドネットワークembOS/IPの販売開始いたします。
エンベデッドネットワークIP(ソフトウエア)であるembOS/IPには多くの機能が組み込まれています。 これらの機能の強化として、UDPフラッド(UDP Flood)プロテクションが対応しました。これは、破棄されてしまう受信データにかかる実行時間を短縮するのに役立ちます。本当に攻撃の対象である場合でも、単に混雑しているネットワークの一部である場合でも、この最適化によってCPU時間を他のタスクに解放可能なRFC(Request For Comments)の考え方を近づけすぎることは理想的とは限りません。
最新の例として、KRACK(Key Reinstallation Attack)と呼ばれる実際のWiFi WPA2の問題があります。これは、使用後にキーを破棄することによって発生するのですが、RFCの提案のように、このキーが実際に再び要求されるときに何が起こるのか考慮されていない実態があります。
TCP/IP(またはこの例ではUDP/IP)の世界では、受信したUDPパケットに応答するのが良い方法です。これは、ICMPエラー応答では期待していなかったもので、データを期待していない相手側に伝えます。
ICMPレスポンスは潜在的なもので、使用されるセキュリティポイントはほとんどありません。しかし、実際、これが引き起こす可能性があるCPU負荷は大きいです。 UDPパケットフラッドがCPU時間をすべて消費し、デバイスが他のジョブを実行できなくなる可能性があります。この状況はUDPフラッドに限定されるものではありませんが、ネットワークにトラフィック負荷が高い場合に適用される可能性があります。
このような状況をカバーするために、embOS IPにはUDPフラッドプロテクションが付属しています。「タスクの優先順位だけでは不十分かもしれない」今日の標準的なターゲットは、広く普及しているCortex-M CPU(約200MHz)で構成されています。しかし、限られた量のRAMを搭載してマルチタスクアプリケーションを実行します。 embOS/IPは、受信パケットの管理と処理に1つのタスクを使用するように設計されています。システム内の他のタスクはembOS / IPとともに存在し、リアルタイム要求を満たすためにIP_Task(受信したパケットの管理と処理に使用)より高い優先順位を使用することもあります。タスクの優先順位を正しく利用することで、ターゲットの作業負荷を優先させることができますが、必ずしもそうであるとは限りません。 ターゲットがイーサネット固有のタスクでより高い優先順位を必要とする場合、IP_Taskがより高い優先度を与えることによって実行できることを確認する必要があります。 しかし、もしIP_Taskがたくさん実行されたら、このパケットが私たちのためではなかったと判明するか分かりません。多くのUDPパケットを受信することは、ネットワーク上の何らかのUDPフラッド攻撃の結果である必要はありません。 同じ現象が、多くのクライアントを持ち、トラフィック負荷が高いすべてのネットワークで発生する可能性があります。このような状況では、追加のジョブを実行しなくても、ターゲットは2回の実行で常にビジー状態になる可能性があります。
1.新しいパケットが受信されたことをIPスタックに伝える受信割り込みを処理
2.受信したパケットコンテンツ自体を処理
◆信号を送るべきかどうか
TCPのようなより複雑で状態駆動型のプロトコルとは異なり、受信したUDPパケットが興味を引くものどうかを判断するのは簡単です。IP_Taskに信号を送ってより深い検査をします。 この決定は、パケットをIPスタック全体に渡す前に、ドライバレベルの近くで行うことができます。 この決定は、次の基準に基づいています。
・パケットの宛先アドレスはブロードキャストではなく、私たちのものでもないか? - >破棄
・宛先ポートが私たちの側で開かれてないか? - >破棄
ターゲットで開かれているUDPポートに送信されるブロードキャストで何が起こるのか疑問に思うかもしれません。 多くの場合、ブロードキャストは望ましくはありませんが、UDPブロードキャストを使用して実際に通信するプロトコルが存在するため、低レベルのチェックではブロードキャストされません。 最も一般的な例は、ネットワークでIPアドレスと構成を要求するために通常使用されるDHCPプロトコルです。
◆CPU時間の節約
より深いパケット解析メカニズムを提供するソフトウェアファイアウォールとは異なり、単純なチェックは、データを受信する初期段階で多くの望ましくないトラフィックを除外するのに十分です。 チェックは、チェック自体のために多くのCPU時間をかけないように単純に設計されています。 これは、embOS / IPのオープンなUDP接続を認識していることによって実現されます。UDPの早期チェックなしにCPUが高いトラフィック状況で消費します。
embOS/IP v3.20以降は、チェックが実装された同じ状況を示しています。IP_Taskは通知されずに実行されるだけでなく、オプションのICMP応答も送信されません。これまでとは異なり、アプリケーションは割り込みが処理されていないときはいつでも、ある割り込みから別の割り込みへ、またはIP_Taskへの急ぎ回りではなく、アイドル状態に戻ることができます。
◆重要なことに時間を費やす
改良により、アプリケーションの他のものに使用できるCPU時間を大幅に削減することができます。emSSLのような暗号製品は、ターゲット上のより高速なソフトウェアベースの暗号計算の鍵となるかもしれません。
【Segger製品のご紹介ページ】
https://www.segger-pocjapan.com/
【ポジティブワン株式会社について】
社名 ポジティブワン株式会社(POSITIVE ONE CORPORATION)
東京本社 〒150-0043 東京都渋谷区道玄坂1-12-1 渋谷マークシティ・ウエスト22F
関西本社 〒651-0087 兵庫県神戸市中央区御幸通8-1-6 神戸国際会館 22F
URL http://www.positive-one.com
ポジティブワン株式会社は、最先端技術と時代を先読みしたエンベデッドソリューションをご提供します。そのために海外の有力な最先端技術会社と提携し、多様化する仕様に対応できるOEMハードウエアや世界標準ISOなどに準拠する品質向上のためのツールをご提供します。さらに、システムコンサルティング、エンベデッドからPC、スマートフォン、サーバーを含んだハードウエアからソフトウエアまでのシステム受託開発など、皆様のプロジェクト成功のためのご支援をいたします。
【本件に関するお問い合わせ先】
ポジティブワン株式会社
メールアドレス:poc_sales@positive-one.com
TEL:03-3256-3933 FAX:03-4360-5301
エンベデッドネットワークIP(ソフトウエア)であるembOS/IPには多くの機能が組み込まれています。 これらの機能の強化として、UDPフラッド(UDP Flood)プロテクションが対応しました。これは、破棄されてしまう受信データにかかる実行時間を短縮するのに役立ちます。本当に攻撃の対象である場合でも、単に混雑しているネットワークの一部である場合でも、この最適化によってCPU時間を他のタスクに解放可能なRFC(Request For Comments)の考え方を近づけすぎることは理想的とは限りません。
最新の例として、KRACK(Key Reinstallation Attack)と呼ばれる実際のWiFi WPA2の問題があります。これは、使用後にキーを破棄することによって発生するのですが、RFCの提案のように、このキーが実際に再び要求されるときに何が起こるのか考慮されていない実態があります。
TCP/IP(またはこの例ではUDP/IP)の世界では、受信したUDPパケットに応答するのが良い方法です。これは、ICMPエラー応答では期待していなかったもので、データを期待していない相手側に伝えます。
ICMPレスポンスは潜在的なもので、使用されるセキュリティポイントはほとんどありません。しかし、実際、これが引き起こす可能性があるCPU負荷は大きいです。 UDPパケットフラッドがCPU時間をすべて消費し、デバイスが他のジョブを実行できなくなる可能性があります。この状況はUDPフラッドに限定されるものではありませんが、ネットワークにトラフィック負荷が高い場合に適用される可能性があります。
このような状況をカバーするために、embOS IPにはUDPフラッドプロテクションが付属しています。「タスクの優先順位だけでは不十分かもしれない」今日の標準的なターゲットは、広く普及しているCortex-M CPU(約200MHz)で構成されています。しかし、限られた量のRAMを搭載してマルチタスクアプリケーションを実行します。 embOS/IPは、受信パケットの管理と処理に1つのタスクを使用するように設計されています。システム内の他のタスクはembOS / IPとともに存在し、リアルタイム要求を満たすためにIP_Task(受信したパケットの管理と処理に使用)より高い優先順位を使用することもあります。タスクの優先順位を正しく利用することで、ターゲットの作業負荷を優先させることができますが、必ずしもそうであるとは限りません。 ターゲットがイーサネット固有のタスクでより高い優先順位を必要とする場合、IP_Taskがより高い優先度を与えることによって実行できることを確認する必要があります。 しかし、もしIP_Taskがたくさん実行されたら、このパケットが私たちのためではなかったと判明するか分かりません。多くのUDPパケットを受信することは、ネットワーク上の何らかのUDPフラッド攻撃の結果である必要はありません。 同じ現象が、多くのクライアントを持ち、トラフィック負荷が高いすべてのネットワークで発生する可能性があります。このような状況では、追加のジョブを実行しなくても、ターゲットは2回の実行で常にビジー状態になる可能性があります。
1.新しいパケットが受信されたことをIPスタックに伝える受信割り込みを処理
2.受信したパケットコンテンツ自体を処理
◆信号を送るべきかどうか
TCPのようなより複雑で状態駆動型のプロトコルとは異なり、受信したUDPパケットが興味を引くものどうかを判断するのは簡単です。IP_Taskに信号を送ってより深い検査をします。 この決定は、パケットをIPスタック全体に渡す前に、ドライバレベルの近くで行うことができます。 この決定は、次の基準に基づいています。
・パケットの宛先アドレスはブロードキャストではなく、私たちのものでもないか? - >破棄
・宛先ポートが私たちの側で開かれてないか? - >破棄
ターゲットで開かれているUDPポートに送信されるブロードキャストで何が起こるのか疑問に思うかもしれません。 多くの場合、ブロードキャストは望ましくはありませんが、UDPブロードキャストを使用して実際に通信するプロトコルが存在するため、低レベルのチェックではブロードキャストされません。 最も一般的な例は、ネットワークでIPアドレスと構成を要求するために通常使用されるDHCPプロトコルです。
◆CPU時間の節約
より深いパケット解析メカニズムを提供するソフトウェアファイアウォールとは異なり、単純なチェックは、データを受信する初期段階で多くの望ましくないトラフィックを除外するのに十分です。 チェックは、チェック自体のために多くのCPU時間をかけないように単純に設計されています。 これは、embOS / IPのオープンなUDP接続を認識していることによって実現されます。UDPの早期チェックなしにCPUが高いトラフィック状況で消費します。
embOS/IP v3.20以降は、チェックが実装された同じ状況を示しています。IP_Taskは通知されずに実行されるだけでなく、オプションのICMP応答も送信されません。これまでとは異なり、アプリケーションは割り込みが処理されていないときはいつでも、ある割り込みから別の割り込みへ、またはIP_Taskへの急ぎ回りではなく、アイドル状態に戻ることができます。
◆重要なことに時間を費やす
改良により、アプリケーションの他のものに使用できるCPU時間を大幅に削減することができます。emSSLのような暗号製品は、ターゲット上のより高速なソフトウェアベースの暗号計算の鍵となるかもしれません。
【Segger製品のご紹介ページ】
https://www.segger-pocjapan.com/
【ポジティブワン株式会社について】
社名 ポジティブワン株式会社(POSITIVE ONE CORPORATION)
東京本社 〒150-0043 東京都渋谷区道玄坂1-12-1 渋谷マークシティ・ウエスト22F
関西本社 〒651-0087 兵庫県神戸市中央区御幸通8-1-6 神戸国際会館 22F
URL http://www.positive-one.com
ポジティブワン株式会社は、最先端技術と時代を先読みしたエンベデッドソリューションをご提供します。そのために海外の有力な最先端技術会社と提携し、多様化する仕様に対応できるOEMハードウエアや世界標準ISOなどに準拠する品質向上のためのツールをご提供します。さらに、システムコンサルティング、エンベデッドからPC、スマートフォン、サーバーを含んだハードウエアからソフトウエアまでのシステム受託開発など、皆様のプロジェクト成功のためのご支援をいたします。
【本件に関するお問い合わせ先】
ポジティブワン株式会社
メールアドレス:poc_sales@positive-one.com
TEL:03-3256-3933 FAX:03-4360-5301