== 攻撃/DDoS/リフレクター攻撃/三条件 ==
JPRSが必要だというみっつの条件を考えてみる。https://jprs.jp/tech/notice/2013-04-18-reflector-attacks.html

=== 送信元IPアドレスの詐称 ===
返答を攻撃対象に向けさせるためには必要と言っていい。

=== reflectorの存在 ===
多数必要かどうか。どれくらいが多数といえるか。

オープンリゾルバーはreflectorのひとつに過ぎない。
　ゾーンサーバを利用するのであれば、アクセス制限すら気にする必要がない。

=== 増幅率 ===
オープンリゾルバーを反射板に使うなら、任意サイズ（EDNS0の制限範囲)の返答を
返させることができる。

ゾーンサーバを反射板に使うこともできる。
 最近はDNSSECによって、返答が大きくなりがちなので、難しい話ではない。

-- ToshinoriMaeno <<DateTime(2016-09-15T21:00:31+0900)>>

== 結論 ==
DoS攻撃手段としてのリフレクター攻撃が使われるのは
　送信元IPアドレスの詐称ができる接続業者が存在しており、
　以下が実現できるからだと考える。
　　攻撃を集中させるのが簡単、かつ身元（攻撃元）を隠せる。

そこで、詐称しにくくするingress filteringが需要になる。接続業者の責任である。
　BCP 38 (Ingress Filtering)を実施していない接続業者はDoS攻撃幇助と言ってもよい。
　こういう業者のリストは作れないものか。

ただし、詐称ができなくても、リフレクター攻撃は可能だ。
　リフレクター攻撃でないDoS攻撃も存在する。[[攻撃/DDoS]]

-- ToshinoriMaeno <<DateTime(2016-09-16T06:25:38+0900)>>

https://www.nlnetlabs.nl/downloads/publications/report-rrl-dekoning-rozekrans.pdf