「IPv4ヘッダ中のセキュリティフラグ」を定義するRFC 3514に規定される、IPv4ヘッダ中のフラグビット。
概要
悪意あるパケットを送信する者は、自主的にこのビットを1にすることが推奨される。
こうすると、受信側でこれを読み取り、簡単に悪意あるパケットを排除でき、セキュリティが格段に向上するからである。
特徴
フラグの位置
IPv4ヘッダ中には3ビットのフラグ領域がある。
このうち最上位ビットは未使用で残されていたため、ここにevil bitを割り当てた。
構文
evil bit=0
このビットが0であれば、そのパケットには悪意が無い。
ホスト、ネットワーク等はこのパケットが無害であることを仮定する必要があり(SHOULD)、防護手段を講じてはならない(SHOULD NOT)。
なお、この仕様は既存の一般的なデスクトップオペレーティングシステムにおいて実装されている。
evil bit=1
このビットが1であれば、そのパケットには悪意がある。
セキュアなシステムは、そのようなパケットに対して自身を防御するよう努める必要がある(SHOULD)。
インセキュアなシステムは、クラッシュするか、進入するかを選択することが出来る(MAY)。
evil bitのセット
フラグをセットするには多くの方法がある。
少なくとも、攻撃プログラムはこのビットを立てなければならない(MUST)。
evil bitの処理
ファイアウォールのような装置では、evil bitが立った侵入パケットは全て叩き落さなければならない(MUST)。
evil bitが立っていないパケットは叩き落してはならない(MUST NOT)。
叩き落されたパケットは、然るべきMIBによって通知される。
セキュリティに関する考察
セキュリティ機構が正しく機能するかどうかは、evil bitが適切にセットされるかどうかに決定的に依存する。
もし誤ってevil bitをセットしてしまえば、サービス拒否が発生する可能性がある。
また、悪意がありながらevil bitを立てない「極めて悪意あるパケット」が発生した場合、このセキュリティ機構では対応することが出来ない。