IP Network Skill

• 最新号：2008-10-10
• 発行周期：週刊
• 読んでる人：1745人
• 創刊日：2001-04-30
• Score!：90点
• コメント数 ： 4
• メルマガID：36790
• バックナンバー：全て公開
• 発行者サイト：あり
• >> 月間ランキング

[ IP Network Skill - No. 0219 - ] ICMP Destination Unreachable

‥‥……━━━━━━ IP Network Skill No. 00000219 ━━━━━━……‥‥

　　　　　〜 ICMP (Destination Unreachable, Time Exceeded詳説) 〜

‥‥……━━━━━━━━━━━━━━━━━━━━━━━━━━━━……‥‥

　【まえがき】

　◆　セキュリティEXPO

　先週の金曜日に東京ビッグサイト（東京国際展示場）で
　セキュリティEXPOという展示会があり、見てきました。

　ネットワーク機器というよりはソフトウェア系の出展が
　多かったです。

　その中でもバイオメトリクス認証に関するブースが結構
　ありました。

　◆　バイオメトリクス認証（生体認証）

　有名なものには指紋認証があります。
　某銀行では静脈認証を取り入れたとCMをしています。
　静脈、指紋（しもん）、目の虹彩（こうさい）、顔、筆跡、
　声紋などがあります。以下が各認証の利点と欠点です。


静脈認証　○高セキュリティ、移動性高い
　　　　　○偽造困難（見えない情報活用）
　　　　　×製品の成熟度が低い（新規参入） 

指紋認証　○省スペース、移動性高い
　　　　　○低コスト
　　　　　×データ取得不可（乾燥肌､脂性、他）
　　　　　×心理的抵抗感（犯罪捜査との関連） 

虹彩認証　○高セキュリティ
　　　　　×高コスト
　　　　　×心理的抵抗感（カメラを覗くため） 

顔認証　　○省スペース
　　　　　○利便性が高い
　　　　　○心理的抵抗が少ない
　　　　　×認証率低い（双子、髪型変更、サングラス着用時など）
　　　　　×高コスト、移動性悪い 

筆跡認証　○低コスト
　　　　　×認証率低い（サインの習熟必要）
　　　　　×利便性低い（同上） 

声紋認証　○低コスト
　　　　　×認証率低い（体調・精神状態の影響）
　　　　　×偽造容易（録音で本人詐称可能） 

　※出展：http://www.murauchi.com/store/security/jomon2005/　より

　静脈認証には「手のひら」型と指型があります。
　
　各社でいろいろと技術的優位点があったり、比較するのが
　おもしろかったです。

　入室管理とかパソコンそのものの物理的な使用認証にはいい
　かもしれませんが、ネットワークの世界では生体認証は難し
　いかもしれません。指紋認証を組み合わせて使っているとこ
　ろもありますが。

　パスワードと違って忘れない、常に身に着けている（体の一部）
　というのが生体認証のよさですね。個人個人で指紋など異なる、
　とはいえ偽造ができてしまうのも考えなければいけません。

　パスワードはすぐ変更できますが生体情報は変更のしようが
　ありません。

　以前、トムクルーズが主演していた某映画で、眼球（おそらく
　虹彩）認証するために他人の目玉（か自分の昔の目）を袋に
　入れて持ち歩いていたシーンがありました。

　重要なデータへのアクセス権のある生体情報目当てに殺人事件
　とか起きないのかなぁと要らぬ心配をしています。

╋━━┳━┳━┳━┳━┳━┳━┳━┳━┳━┳━━━━━━━━━━……‥‥
　　　┃本┃日┃の┃試┃験┃対┃策┃問┃題┃　
╋━━┻━┻━┻━┻━┻━┻━┻━┻━┻━┻━━━━━━━━━━……‥‥

　〔問題１〕TTL値が０になり、これ以上ルーティングができないと判断した
　　　　　ルータが送出するICMPメッセージはどれか。

　　　　１．Echo Reply
　　　　２．Destination Unreachable
　　　　３．Time Exceeded
　　　　４．Parameter Problem

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
　ネ┃ッ┃ト┃ワ┃ー┃ク┃の┃基┃礎┃講┃座┃
　━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛

　この企画は処女作「TCP/IPネットワークステップアップラーニング」
http://www.amazon.co.jp/exec/obidos/ASIN/4774116351/ipnetworkskil-22
　を基に構成変更、加筆、修正、省略。。。いろいろ手を加えたものです。


　【７．IP】

　７．５．ICMP

　７．５．４．２．Destination Unreachable（宛先到達不能）メッセージ

　ICMPタイプ３のDestination Unreachableメッセージです。

　このメッセージはルータのルーティングテーブルを参照して宛先が見つからな
　い場合に送出されます。

　また、ルーティングプロトコルによるポイズンリバースなどで宛先ネットワー
　クへの距離が無限大であるような場合、ルータは宛先到達不能メッセージを送
　信元に送ります。

　宛先ホストで、指定されたプロトコルに対応していなかったり、ポートが開い
　ていないためにIPパケットを転送できない場合、その宛先ホストは宛先到達不
　能メッセージを送信元ホストに送信します。

　ルータの入力側と出力側でメディアが異なる場合など、フラグメントしないと
　ルータがパケットを転送できない状況であるが、フラグメント禁止フラグ
　（Don't Fragment bit）がONになっている場合、ルータはパケットを廃棄して
　宛先到達不能メッセージを返します。

　これらのケースは必須処理ではありません。ルータの実装によってDestination 
　Unreachableメッセージを出さない場合もあります。
 
    0                   1                   2                   3
    0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |    タイプ     |    コード     |        チェックサム           |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |                             未使用                            |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   | インターネットヘッダ + 64ビットの元データからなるデータグラム |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

　タイプ：Destination Unreachableメッセージのタイプは「３」です。

　コード：
    0 : ネット到達不能 (net unreachable)
　　　　宛先のネットワークが不明、またはルーティングディスタンスが無限大
　　　　で到達不能な場合。
    1 : ホスト到達不能 (host unreachable)
　　　　宛先ホストに到達できなかったり、応答しない場合。
    2 : プロトコル到達不能 (protocol unreachable)
　　　　宛先ホストがプロトコル実装していないために転送や処理ができない場合。
    3 : ポート到達不能 (port unreachable)
　　　　宛先ホストのポートが開いておらず、処理できない場合。
    4 : 要フラグメンテーションDFセット (fragmentation needed and DF set)
　　　　処理途中でフラグメントが必要だがDF(Don't Fragment)ビットがONにな
　　　　っているためパケットが廃棄される場合。
    5 : ソースルート失敗 (source route failed)
　　　　送信元アドレスによってルーティングするソースルートが失敗、つまり
　　　　ルートが無い場合。
　
    コード0、1、4、5は経路途中のルータが送信元ホストに送ります。
　　コード2、3は受け取り側ホストが送信側へ送ります。


　インターネットヘッダ + 64ビットのデータからなるデータグラム：

　　IPパケットのヘッダ部と上位プロトコルのデータ先頭64ビット。
　　上位プロトコルにTCPを使っていればTCPヘッダの先頭64ビットで、送信元ポ
　　ート番号、宛先ポート番号、シーケンス番号が入ります。これにより、この
　　メッセージを受け取ったホストは対応するプロセスと結びつけることができ
　　ます。


　７．５．４．３．Time Exceeded（時間超過）メッセージ

　ICMPタイプ11のTime Exceededメッセージです。

　IPヘッダ内にあるTTL (Time To Live) フィールドの値がルータの処理によって
　０になると、ルータがパケットを廃棄してこのメッセージを出します。
　経路途中のルータは、ルーティング処理を行うとTTL値を１つ下げます。
　TTL値は最大255という値まで設定できるので、最大で255台のルータを経由した
　宛先までパケットを送ることができます。
　256台目以降になるとTTLが０になってしまうのでこのメッセージが出されます。

　ちなみにpingのオプションでTTL値を変更できます。

C:\>ping -i 5 yahoo.com

Pinging yahoo.com [216.109.112.135] with 32 bytes of data:

Reply from 210.80.5.169: TTL expired in transit.
Reply from 210.80.5.169: TTL expired in transit.
Reply from 210.80.5.169: TTL expired in transit.
Reply from 210.80.5.169: TTL expired in transit.

　この例だとTTLを５にしてICMP Echoを対象ホストに送るのですが、宛先までは
　５台以上のルータを経由するのでTime Exceedededが５台目のルータから送られ
　てきます。

　フラグメントされたパケットをリアセンブル（再構築）する場合に、制限時間
　内にフラグメントの一部が到着せず、リアセンブルが完了しなかったときも
　パケットを廃棄してこのメッセージを出します。

　PingがICMPのEchoとEcho replyを使っているのに対して、Trace-route（トレー
　スルート）というツールではこのTime Exceededメッセージを利用します。
　トレースルートではICMPかUDPのデータグラムを宛先に送りますが、その際IP
　ヘッダ内のTTL値を１から徐々に上げていきます。こうすることで、経路途中の
　ルータのIPアドレスが分かり、どの経路を通って宛先まで到達するかが見えま
　す。

    0                   1                   2                   3
    0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |    タイプ     |    コード     |        チェックサム           |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |                             未使用                            |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   | インターネットヘッダ + 64ビットの元データからなるデータグラム |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

　タイプ：１１
　コード：
    0 : 転送時の生存時間超過で経路途中のルータが出す。
    1 : フラグメントのリアセンブリ時間超過で受け取り側ホストが出す。
　インターネットヘッダ + 64ビットのデータからなるデータグラム：
　　Destination Unreachableのときと同じです。

　ちなみにチェックサムは前回Echoのときに説明したように16ビットの１の補数
　です。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
　解┃答┃と┃解┃説┃
　━┛━┛━┛━┛━┛

　《本日の試験対策問題》
　　（解答１）３
　　　　
　　（解説１）
　　　TTL（Time To Live; 生存時間）は経路途中のルータでカウントダウン
　　　されていきます。これが０になるとそれ以上転送できません。これは
　　　無限ループを防ぐための仕組みです。
　　　TTLが０になると、ルータはTime Exceededメッセージを送信元に送り
　　　ます。
　　　トレースルートはこの機能を使ったツールです。
　　　
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆◆◆◆◆◆　┃ あとがき ┃　◆◆◆◆◆◆

　◆　だんご作り

　先週和菓子ネタをまえがきで書きましたが、和菓子を
　作ろう！と思い、取り急ぎ簡単そうな「だんご」を作
　りました。作りすぎて食べ切れなかったもの、５日が
　経過してさすがにカビが生えてしまったようです。。。

　だんごは上新粉（じょうしんこ）という米からできた
　粉と、もち粉や白玉粉といったもち米からできた粉を
　ブレンドして作ります。水と砂糖を加えてかきまぜて、
　レンジで１分半加熱、その後またかき混ぜて再度レン
　ジで１分半加熱するとだんごの生地ができます。
　これを丸めてできあがり。

　つぶあんやこしあんをつけたり、きな粉をつけたり、
　黒蜜をかけたりして食べます。

　材料も安くて揃いやすいので試してみてください。

  adzuki

………………………………………………………　　　　　　　　　　 
　IP Network Skill vol.000219　7/08/05
　発行者：adzuki　http://www.xai.nu/ipnet  
…………… ｉｐｎｅｔ６＠ｘａｉ．ｎｕ ……　　　　　　　　　　 

◎￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣◎
｜　新規購読・購読解除・バックナンバー ⇒ http://www.xai.nu/ipnet　 
｜　　IP Network Skill 掲示板
｜　　⇒　http://www.xai.nu/cgibin/ipnet/bbs.cgi　 
｜　　バックナンバー一覧　　　　　　　　　　　　　　
｜　　⇒　http://xai.nu/ipnet/stack/index.html　
｜　　間違いご指摘
｜　　⇒　メルマガにコメントを添えて返信ください。
◎＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿◎

のんびりやろう！情報処理試験！　〜１問１問コツコツと〜

ソフトウェア開発＆基本情報技術者試験対策を中心に初級シスアドや高度区分まで幅広く対応。流行のIT用語の解説も行っているので，パソコンについて勉強した...

Office & VBA パーフェクトマスター

Excel・Access・Word等の今さら聞けない「疑問」、今すぐ知りたい「困った」、たちまち解決！のmoug（モーグ）がお送りする、関数初心者か...

ネットワークのおべんきょしませんか？

TCP/IPってなに？LANって？ルータって何をするの？というネットワークに関することをわかりやすく解説します。情報処理の試験を受ける方にもぴったり...

全部フリーソフト！！

ネット上にはこんなに便利なフリーソフトがいっぱい。お金なんか使わなくても、あると絶対にお得で楽しいソフトを1つずつご紹介します。

ＩＰネットワーク考

インターネットのネットワークＳＥの実務者が、IPネットワークにまつわる話題、問題、技術について実務者ならではの視点から解説します。ネットワーク、TC...

この記事へのコメント

■三菱東京UFJ銀行系 モビット■

【１】ネットで自動審査・来店不要！
【２】限度額300万円
【３】年利9.8％-18.0％（実質年率）

急な出費にモビット！