2017年までは、汚染されていた1.1.1.1(Contaminated 1.1.1.1)

2017年までは、汚染されていた1.1.1.1(Contaminated 1.1.1.1)

Cloudflareの活動を調査していると、インターネットの様々な脆弱性やDDoS攻撃の話題がでてきて、掘れば掘るほどに、その陰で労を惜しまない姿が見えてきてしまいます。パブリックDNSリゾルバー「1.1.1.1」にも何かあるようです。その事情を調べてみました。
Clock Icon2024.02.16

極度に汚染されていた1.1.1.1

CloudflareからパブリックDNSサービスに提供される「1.1.1.1」 は 非常に覚えやすい 。インターネット利用者のためとはいえ、こんな素晴らしいIPアドレスをCloudflareが使っちゃっていいの?そんな疑問がありました。よくよく調べると、歴史を変えてきた ネットワークエンジニア の地道な努力が見えてきました。

汚染された1/8

「1/8」とは、IPアドレスの表記方法で「1.0.0.0/8」というネットワークを表します。具体的なIPアドレス範囲は、「1.0.0.0~1.255.255.255」です。IPv4アドレスの1/256に相当する256256256=16,777,216個という広大なグローバルIPアドレス空間です。そして、誰にとってもわかりやすい「1.1.1.1」は、「1/8」に含まれるIPアドレスの一つです。

RIPE コミュニティのメンバーがインターネット関連のツールやアイデアを紹介、テスト、議論するためのプラットフォームである「RIPE Labs」から 2010/02/03に「Pollution in 1/8」(極度に汚染された1/8)という情報が公開されました。

Pollution in 1/8」の概要

  • 1981年以来、「IANA予約済み」のIPアドレス
  • 1/8は、非公式のサンプルアドレス、デフォルトの設定パラメーター、疑似プライベートアドレス、DDoS攻撃などに 不正利用 されてきた Bogon経路
  • 2008年に「IANA予約済み」から「IANA未割り当て」へ変更
  • さらに、2010 年 1 月に「APNIC割り当て」に変更
  • 極度に汚染されている実態」が判明し、「実稼働環境での利用は不可能」と判断し、再びBogon経路化

※「汚染されていた」というタイトルは、2010/02/03に発表された「Pollution」(汚染)という原文を尊重しました。 ※bogon経路とは、インターネット上では本来存在しないハズの経路です。 ※debogon経路化とは、使えなかった経路を再び利用可能な状態に復活・再生することです。

関連情報

1.1.1.1のお掃除(debogon)は大変だった?

DNSリゾルバー、1.1.1.1のご紹介(冗談ではなく)」の裏で、「Fixing reachability to 1.1.1.1, GLOBALLY!」という発表がありました。冒頭に次の一文がありました。

As you can see 1.1.1.1 is very easy to remember, which is both a blessing and a curse.

ご覧のとおり、1.1.1.1 は非常に覚えやすいですが、これは祝福でもあり呪いでもあります。

「祝福」は、非常に覚えやすい「1.1.1.1」(1/8)というIPアドレス空間が適切に利用できる状態になったこと。IPv4アドレスが枯渇している状況で、bogon経路に落ちている経路は、できるだけde-bogonして活用できる状態になることが望ましいです。

「呪い」は、非常に覚えやすいからこそ、不正利用の根絶に根気のいる取り組み(de-bogon)をずっとしていかなければいけないこと。過去にも、調査していたようですが、de-bogonを断念してきたようです。

パブリックDNSリゾルバー「1.1.1.1」をサービスインする6か月前から始めた「お掃除」の知見が「Fixing reachability to 1.1.1.1, GLOBALLY!」で語られています。サービスインした時には、一部経路で利用できない状況もあったようです。その場合は、1.0.0.1の利用が推奨されていたようです。

皆さんの環境では、極度に汚れてしまっていた「1.1.1.1」は、綺麗になっているでしょうか?もし、綺麗になっていましたら、陰で地道な努力をされてきた ネットワークエンジニア(ネツエン) に敬意を払っていきたいです。

関連情報

関連話題の調査リスト

DATE 情報源 タイトル 概要
2010/02/03 RIPE Pollution in 1/8 (極度に汚染された1/8)
  • 1981年以来、IANAの予約アドレス
  • 非公式にサンプルアドレス、デフォルトの設定パラメーター、疑似プライべーとアドレスなどに利用されてきた。
  • 2010年頃に「IANA予約済み」から「APNIC割り当て」に変更された。
  • 極度に汚染されている実態が判明し、再びbogon経路化
2010/04 RIPE&APNIC Traffic in Network 1.0.0.0/8 (経路広告による影響分析)
  • 2010/2/23~2010/2/28の6日間の経路広告によるトラフィック傾向分析報告
2017/02/02 Cloudflare NANOG - the art of running a network and discussing common operational issues
  • 結論は、技術者の求人!
  • アジアだと最寄りは、シンガポールです!
  • けど、幅広くインターネットオペレーターの会議に参加されていますね。
2018/03/30 NANOG 「cloudflare が 1.1.1.1 と 1.0.0.1 で public dns を始めようとしている」話題があったらしい。
2018/04/01 APNIC APNIC Labs enters into a Research Agreement with Cloudflare
  • CloudflareとAPNICが共同研究
  • DoS攻撃を軽減させるためpublic DNSを運用
  • 1.1.1.0/24と1.0.0.0/24を使用
2018/04/01 Cloudflare DNSリゾルバー、1.1.1.1のご紹介(冗談ではなく)
  • April foolではない。
  • Public DNS Resolverの役割
  • 1.1.1.1 の目標
  • プライバシーの取り組み
  • 構築方法
  • 独自の工夫
  • 高速化技術
  • データ取扱ポリシー
  • 1.1.1.1というIPアドレスについて
  • 4/1(4つの1)に発表したら、覚えやすい!
2018/04/11 Cloudflare Fixing reachability to 1.1.1.1, GLOBALLY!
  • 1.1.1.1公開の裏事情!
  • 1.1.1.1は汚染されていた
    • 10,000の調査点のうち1割が汚染
  • 1.1.1.1を浄化する(経路リークの解消)
    • 経路リークの修正依頼
    • 経路リーク事例
    • 浄化状況
    • 経路リークの傾向分析
  • 活動概要
    • 2017年10月~2018/3の活動報告

参考情報、出典

Cloudflare (English)

Cloudflare (日本語)

Cloudflare リンク集

Cloudflareに関するメディア掲載記事(Published in an IT magazine)

Cloudflare 報道発表資料(Published in PRTIMES)

Classmethod

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.