-----BEGIN PGP SIGNED MESSAGE-----

Translations of CA-96.01.UDP_service_denial, (c) 1996,1997 by Carnegie
Mellon University, with special permission from the Software Engineering
Institute.

Accuracy and interpretation of this translation are the responsibility of
the Japan Computer Emergency Response Team/Coordination Center. The SEI has
not participated in this translation.

The CERT* Advisories and other CERT publications are available on the
Internet (http://www.cert.org/ or ftp://info.cert.org/pub/). Readers may
learn about the latest updates to these publications at these locations.

*Registered in the U.S. Patent and Trademark Office.


- ----------------------------------------------------------------------------
CERT(*) Advisory CA-96.01

Original issue date: February 8, 1996
Last revised: September 24, 1997
              Updated copyright statement
              A complete revision history is at the end of this advisory.

Topic: UDP Port Denial-of-Service Attack

- ----------------------------------------------------------------------------

- ----------------------------------------------------------------------------
CERT(*) 勧告 CA-96.01

初版:           1996年2月8日
最終改訂:       1997年9月24日
                著作権表示の部分を更新した。
                完全な改訂履歴はこの勧告の最後に添付されている。

主題: UDP ポートへのサービス妨害攻撃

- ----------------------------------------------------------------------------

The CERT Coordination Center has received reports of programs that launch
denial-of-service attacks by creating a "UDP packet storm" either on a system
or between two systems. An attack on one host causes that host to perform
poorly. An attack between two hnosts can cause extreme network congestion in
addition to adversely affecting host performance.  The CERT staff recommends
disabling unneeded UDP services on each host, in particular the chargen and
echo services, and filtering these services at the firewall or Internet
gateway.

CERT コーディネーションセンターは、あるシステムに向けて、あるいは 2 つのシ
ステムの間に多量の UDP パケットを発生させることでサービス妨害攻撃を行うプロ
グラムに関する報告を受けた。ホストがこの攻撃を受けると処理能力が低下する。2
ホスト間への攻撃は、それらのホストの処理能力を下げると同時に、深刻なネット
ワークの輻輳を引き起こす原因ともなる。CERT スタッフは、全てのホストの不必要
な UDP サービス、特に chargen と echo サービスを使用不能にし、ファイアウォー
ルかインターネットゲートウェイでこれらのサービスを遮断することを推奨する。

Because the UDP port denial-of-service attacks typically involve IP
spoofing, we encourage you to follow the recommendations in advisory
CA-96.21.

UDP ポートへのサービス妨害攻撃は、一般的に IP パケット偽造を伴うため、勧告
CA-96.21 の推奨に従うことを推奨する。

We will update this advisory as we receive additional information. Please
check advisory files regularly for updates that relate to your site

新たな情報を得た場合は、この勧告を更新する。自分のサイトに関連した勧告の改
訂に備え、定期的に勧告を確認して頂きたい。

I. Description

I. 解説

When a connection is established between two UDP services, each of which
produces output, these two services can produce a very high number of
packets that can lead to a denial of service on the machine(s) where the
services are offered. Anyone with network connectivity can launch an attack;
no account access is needed.

2 つの UDP サービス間にコネクションが確立され、それぞれがデータを出力すると、
これらの 2 つのサービスは非常に多くのパケットを発生する可能性がある。これは、
そのサービスを提供しているマシンに対するサービス妨害攻撃となる可能性がある。
また、ホストのアカウントを入手しなくても、ネットワークに接続している者なら
ば誰でもこの種の攻撃をしかけることができる。

For example, by connecting a host's chargen service to the echo service on
the same or another machine, all affected machines may be effectively taken
out of service because of the excessively high number of packets produced.
In addition, if two or more hosts are so connected, the intervening network
may also become congested and deny service to all hosts whose traffic
traverses that network.

たとえば、あるホストの chargen サービスを、同じもしくは異なるホストの echo
サービスに接続すれば、極めて大量のパケットが発生するために、関係する全ての
マシンでサービスが提供できない状態に陥るかもしれない。さらに、2 つ以上のホ
ストがそのように接続された場合、中間のネットワークは輻輳を引き起こすため、
そのネットワークを経由するようなトラフィックを流す全てのホストのサービスが
利用不可能になる。

II. Impact

II. 影響

Anyone with network connectivity can cause a denial of service. This attack
does not enable them to gain additional access.

ネットワークに接続している全ての者が、このサービス妨害攻撃を行える。この攻
撃によって、さらに他の不正アクセスを許すことはない。

III. Solution

III. 対策

We recommend taking all the steps described below.

以下の全ての項目に従うことを推奨する。

1. Disable and filter chargen and echo services.

1. chargen と echo サービスを使用不能にし、フィルタリングする。

   This attack is most readily exploited using the chargen or echo services,
   neither of which is generally needed as far as we are aware. We recommend
   that you disable both services on the host and filter them at the firewall
   or Internet gateway.

   この攻撃は、多くの場合開放されている chargen や echo サービスを悪用する。
   これらのサービスは一般的に開放する必要はない。両方のサービスをホストで使
   用不能にし、さらに、ファイアウォールかインターネットゲートウェイでフィル
   タリングすることを推奨する。

   To disable these services on a host, it is necessary to edit the inetd
   configuration file and cause inetd to begin using the new configuration.
   Exactly how to do this is system dependent so you should check your
   vendor's documentation for inetd(8); but on many UNIX systems the steps
   will be as follows:

   ホストでこれらのサービスを使用不能にするには、inetd の設定ファイルを編集
   し、この新しい設定ファイルを inetd に再ロードさせる必要がある。設定はシ
   ステムに依存しているため、ベンダの inetd(8) というドキュメントに目を通す
   べきである。しかし、多くの UNIX では以下のような手順を経る。

        (1) Edit the inetd configuration file (e.g. /etc/inetd.conf).
        (2) Comment out the echo, chargen, and other UDP services not used.
        (3) Cause the inetd process to reread the configuration file (e.g., by
            sending it a HUP signal).

        (1) inetd の設定ファイル (たとえば /etc/inetd.conf) を編集する。
        (2) echo と chargen とその他不要な UDP サービスをコメントアウトする。
        (3) inetd が設定ファイルを再読み込みするようにする (たとえば HUP シ
            グナルを inetd に送る)。

2. Disable and filter other unused UDP services.

2. その他使用されていない UDP サービスを使用不能にし、フィルタリングする。

   To protect against similar attacks against other services, we recommend

   - disabling all unused UDP services on hosts and
   - blocking at firewalls all UDP ports less than 900 with the exception of
     specific services you require, such as DNS (port 53).

   他のサービスに対する同様な攻撃を防止するために、以下を推奨する。

   - ホストが使用していない全ての UDP サービスを使用不能にする。
   - 900 より小さい全ての UDP ポートをファイアウォールで遮断する。ただし、
     DNS (ポート 53) など必要なサービスは通過させる。

3. If you must provide external access to some UDP services, consider
   using a proxy mechanism to protect that service from misuse. Techniques to
   do this are discussed in Chapter 8, "Configuring Internet Services," in
   _Building Internet Firewalls_ by Chapman and Zwicky (see Section IV below).

3. もし、外部に対して UDP サービスを提供しなければならない場合、不正使用を
   防ぐために代理 (proxy) 機構の使用を検討して頂きたい。Chapman and Zwicky
   による書籍 Building Internet Firewalls の 8 章「Configuring Internet
   Services」にこの技術が解説されている (IV 章を参照のこと)。

4. Monitor your network.

4. ネットワークを監視する。

   If you do provide external UDP services, we recommend monitoring your
   network to learn which systems are using these services and to monitor for
   signs of misuse. Tools for doing so include Argus, tcpdump, and netlog.

   もし、外部に向けて UDP サービスを提供している場合、どのシステムがそのサー
   ビスを利用しているのか知るために、そして、不正使用の兆候をとらえるために
   も、ネットワークの監視を推奨する。この目的で利用できるツールに Argus、
   tcpdump、および netlog がある。

   Argus is available from

   Argus は以下から入手できる。
        ftp://ftp.net.cmu.edu/pub/argus-1.5/
        MD5 (argus-1.5.tar.gz) = 9c7052fb1742f9f6232a890267c03f3c

    Note that Argus requires the TCP wrappers to install:

    Argus を使用するには TCP wrapper がインストールされている必要がある。

        ftp://info.cert.org/pub/tools/tcp_wrappers/tcp_wrappers_7.2.tar.Z
        MD5 (tcp_wrappers_7.2.tar.Z) = 883d00cbd2dedd9bfc783b7065740e74

    tcpdump is available from

    tcpdump は以下から入手できる。
        ftp://ftp.ee.lbl.gov/tcpdump-3.0.2.tar.Z
        MD5 (tcpdump-3.0.2.tar.Z) = c757608d5823aa68e4061ebd4753e591

    Note that tcpdump requires libpcap, available at

    tcpdump は以下から入手できる libpcap が必要である。
        ftp://ftp.ee.lbl.gov/libpcap-0.0.6.tar.Z
        MD5 (libpcap-0.0.6.tar.Z) = cda0980f786932a7e2eebfb2641aa7a0

    netlog is available from

    netlog は以下から入手できる。
        ftp://net.tamu.edu/pub/security/TAMU/netlog-1.2.tar.gz
        MD5 (netlog-1.2.tar.gz) = 1dd62e7e96192456e8c75047c38e994b

5. Take steps against IP spoofing.

5. IP パケット偽造攻撃に関して知識をつける。

   Because IP spoofing is typically involved in UDP port denial-of-service
   attacks, we encourage you to follow the guidance in advisory CA-95:01,
   available from


   UDP ポートへのサービス妨害攻撃には、一般的に IP パケット偽造が利用される
   ため、以下に示す勧告 CA-95:01 に目を通すことを奨励する。
        ftp://info.cert.org/pub/cert_advisories/CA-95:01.IP.spoofing

IV. Sources of further information about packet filtering

IV. パケットフィルタリングに関するより詳しい情報源

    For a general packet-filtering recommendations, see

    パケットフィルタリングに関する一般知識は以下を参照のこと。
        ftp://info.cert.org/pub/tech_tips/packet_filtering

    For in-depth discussions of how to configure your firewall, see

    ファイアウォールの設定に関する詳細な議論は以下を参照のこと。
         _Firewalls and Internet Security: Repelling the Wily Hacker_
         William R. Cheswick and Steven M. Bellovin
         Addison-Wesley Publishing Company, 1994
         ISBN 0-201-63357

         _Building Internet Firewalls_
        Brent Chapman and Elizabeth D. Zwicky
        O'Reilly & Associates, Inc., 1995
        ISBN 1-56592-124-0

- ----------------------------------------------------------------------------
The CERT Coordination Center staff thanks Peter D. Skopp of Columbia
University for reporting the vulnerability and Steve Bellovin of AT&T Bell
Labs for his support in responding to this problem.
- -----------------------------------------------------------------------------

- ----------------------------------------------------------------------------
CERT コーディネーションセンターは、セキュリティ上の脆弱性について報告してい
ただいた Columbia 大学の Peter D. Skopp 氏に感謝する。また、この問題の解決
にあたってご協力いただいた AT&T Bell 研究所の Steve Bellovin 氏に感謝する。
- -----------------------------------------------------------------------------

If you believe that your system has been compromised, contact the CERT
Coordination Center or your representative in the Forum of Incident Response
and Security Teams (FIRST).

もし、自分のサイトのシステムが侵入されたと思ったときは、CERT コーディネーショ
ンセンター、あるいは近くの FIRST (Forum of Incident Response and Security
Teams) 加盟チームに連絡して欲しい。

We strongly urge you to encrypt any sensitive information you send by email.
The CERT Coordination Center can support a shared DES key and PGP. Contact
the CERT staff for more information.

電子メールで重要な情報を送るときは、暗号化することを強く要請する。CERT コー
ディネーションセンターは、DES と PGP を使用できる。詳細は CERT スタッフに問
い合わせて欲しい。

Location of CERT PGP key

CERT の PGP 公開鍵の入手場所
        ftp://info.cert.org/pub/CERT_PGP.key

CERT Contact Information
- ------------------------
Email cert@cert.org
Phone +1 412-268-7090 (24-hour hotline)
CERT personnel answer 8:30-5:00 p.m. EST
(GMT-5)/EDT(GMT-4), and are on call for
emergencies during other hours.
Fax +1 412-268-6989

Postal address
CERT Coordination Center
Software Engineering Institute
Carnegie Mellon University
Pittsburgh PA 15213-3890
USA

CERT へのコンタクト方法
- -----------------------
電子メール  cert@cert.org
電話 +1 412-268-7090 (24-hour hotline)
CERT personnel answer 8:30-5:00 p.m. EST
(GMT-5)/EDT(GMT-4), and are on call for
emergencies during other hours.
ファックス  +1 412-268-6989

住所
CERT Coordination Center
Software Engineering Institute
Carnegie Mellon University
Pittsburgh PA 15213-3890
USA

To be added to our mailing list for CERT advisories and bulletins, send your
email address to

CERT 勧告と公報を提供するメーリングリストを購読したい場合は、次のアドレスに
自分の電子メールアドレスを書いて送って欲しい。

        cert-advisory-request@cert.org

CERT publications, information about FIRST representatives, and other
security-related information are available for anonymous FTP from

CERT の発行文書、FIRST に関する情報、その他セキュリティに関する情報は、
anonymous FTP により以下から入手できる。
        ftp://info.cert.org/pub/

CERT advisories and bulletins are also posted on the USENET newsgroup

CERT 勧告と公報は、USENET の次のニュースグループにも投稿されている。
        comp.security.announce

Copyright 1996, 1997 Carnegie Mellon University. Conditions for use,
disclaimers, and sponsorship information can be found in
http://www.cert.org/legal_stuff.html and ftp://ftp.cert.org/pub/legal_stuff
. If you do not have FTP or web access, send mail to cert@cert.org with
"copyright" in the subject line.

Copyright 1996,1997 Carnegie Mellon University. 使用条件、免責事項、スポン
サーとの契約に関する情報については、http://www.cert.org/legal_stuff.html あ
るいは ftp://ftp.cert.org/pub/legal_stuff から入手できる。もし、FTP や web
によるアクセスが不可能な場合は、cert@cert.org 宛にメールを送って欲しい。そ
のときにはサブジェクト行に "copyright" と書くこと。

CERT is registered in the U.S. Patent and Trademark Office.

CERT は合衆国特許商標庁に登録済みである。

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
UPDATES

更新

Cisco
=====

Cisco Alert Summary:
        http://www.cisco.com/warp/public/146/917_security.html
Cisco Security Guide
        http://www.cisco.com/univercd/data/doc/cintrnet/ics/icssecur.htm

Silicon Graphics Inc.
====================
SGI acknowledges CERT Advisory CA-96.01 and is currently investigating. No
further information is available at this time.

SGI は CERT Advisory CA-96.01 の内容を確認し、現在問題を調査中である。
現在これ以上の情報はない。

- ----------------------------------------------------------------------------
Revision history

Sep. 24, 1997 Updated copyright statement

Feb. 14, 1997 Introduction - updated the IP spoofing reference to CA-96.21.
Updates section - added pointers to CISCO documents. Aug. 30, 1996
Information previously in the README was inserted into the advisory.

Feb. 23, 1996 Updates section - added information from Silicon Graphics,

Inc. Feb. 21, 1996 Solution, Sec. III.4 - added new URL for Argus.


- ----------------------------------------------------------------------------
改訂履歴

1997年9月24日  著作権表示の部分を更新した。

1997年2月14日  序文 - IP パケットの偽造への参照を CA-96.21 に更新した。
              「更新」の章 - CISCO のドキュメントへのポインタを追加した。
1996年8月30日  以前 README に記載されていた情報をこの勧告に盛り込んだ。

1996年2月23日  「更新」の章 - Silicon Graphics, Inc からの情報を追加した。

1996年2月21日  III.4 章の「対策」 - Argus への新しい URL を追加した。

- ----------------------------------------------------------------------------
JPCERT/CC 改訂履歴

2000年8月25日  最新情報の URL の更新
1999年8月9日   ヘッダの誤字の修正。
               フッタの更新。
1998年2月17日  初版


====================== この文書の取扱に関する注意事項 ======================

  この文書は、原著作権者から翻訳の許諾を受け、JPCERT/CC が独自に翻訳し
た文書です。この翻訳文書を商業目的に使用することを禁止します。また
JPCERT/CC の許諾なく再配布することを禁止します。

  翻訳にあたっては、誤訳や誤解を生じるような表現をなくすように努力して
おりますが、もし万が一不具合を見つけた場合には、JPCERT/CC にご連絡頂け
れば幸いです。また、それ以外にも、この翻訳に関して質問等がある場合には、
JPCERT/CC にご連絡をお願い致します。連絡先は次の通りです。

        info@jpcert.or.jp


  この翻訳文書は、随時更新される可能性がありますので、最新情報について
は、次を参照してください。

        http://www.jpcert.or.jp/tr/cert_advisories/

  また翻訳文書の原文書も随時更新される可能性がありますので、そちらも参
照してください。翻訳文書と原文書のバージョンが異なる場合には、原文書が
最新情報です。

===================== JPCERT/CC からのお知らせとお願い =====================

  本文書で解説した不正アクセスも含め、インターネット上で引き起こされる
さまざまな不正アクセスに関する情報がありましたら、JPCERT/CC 所定の報告
様式にご記載のうえ、関連するログファイルのメッセージとともに、次のアド
レスまでお送りください。

    info@jpcert.or.jp

  報告様式等、JPCERT/CC への連絡方法につきまして、詳しくは次の URL を
ご参照下さい。

    http://www.jpcert.or.jp/contact.html

  JPCERT/CC に頂いた報告は、報告者の了解なしに、そのまま他組織等に開示
することはありません。JPCERT/CC の組織概要につきましては、次の URL を
ご参照ください。

    http://www.jpcert.or.jp/

  JPCERT/CC では、不正アクセスに関する情報を迅速にご提供するために、メー
リングリストを開設しています。登録の方法等、詳しくは、次の URL をご参
照ください。

    http://www.jpcert.or.jp/announce.html

__________

注: この文書は、不正アクセスに対する一般的な情報提供を目的としており、特定
の個人や組織に対する個別のコンサルティングが目的ではありません。そのため、
個別の問題に関するお問い合わせ等に必ずお答えできるとは限りません。また、お
答えできる場合でもご回答が遅れる可能性があります。

JPCERT/CC は、この文書に記載された情報の内容が正確であるよう努めていますが、
正確性を含め一切の品質についてこれを保証致しません。この文書に記載された情
報に基づいて、貴方あるいは貴組織がとられる行動、あるいはとられなかった行動
によって、直接的、間接的または偶発的に引き起こされた結果に対して、JPCERT/CC
は何ら保証致しません。

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia

iQCVAwUBOaXlc4x1ay4slNTtAQHmzwP9Gc7irQMc+2iZVR8VSpSEANRnaCH5J7bb
qN9HC1rZK3NOwDge0XMQ8wg3xtiwwkcyIec+m39ZtygRIwHsSiaL3vPKr7NLhsH6
RH9Y0PnR4zrc5gwUuJC685aKwdZWdGVXHOIMMT9JBMAPchubrKQ7q9nXsqstWkA9
0aqzNcX0Nxk=
=h2HK
-----END PGP SIGNATURE-----