Предотвращают ли сегодняшние маршрутизаторы поддельные заголовки IP?

Я знаю, что люди могут изменять заголовки IP и изменять IP-адрес источника, но сетевым устройствам должно быть легко обнаружить эти сообщения. Если они этого не сделают, почему это так сложно? Это слишком много накладных расходов?

11 голосов | спросил Nachos 16 J000000Tuesday13 2013, 14:51:08

3 ответа


17
  

Я знаю, что люди могут изменять заголовки IP и изменять IP-адрес источника, но сетевым устройствам должно быть легко обнаружить эти сообщения.

Поддельные IP-адреса источника в заголовках могут быть обнаружены и заблокированы в коммерческом сетевом устройстве; другие поддельные заголовки IPv4 могут быть немного сложнее идентифицировать. Большинство людей ссылаются на функцию обнаружения фальшивых исходных IP-адресов как «Unicast Reverse Path Forwarding», которая сокращена механизма URPF; uRPF определяется в RFC 3704 и считается интернет-технологией Лучшая текущая практика . uRPF следует применять на первом маршрутизаторе от оборудования для помещения клиента или на пограничный маршрутизатор в корпоративной сети.

  

Если это не так, почему так сложно? Это слишком много накладных расходов?

До тех пор, пока маршрутизатор не является маршрутизатором на основе ЦП, нет штрафа за производительность. Многие маршрутизаторы /коммутаторы, используемые интернет-провайдерами, имеют эту функцию, встроенную в ASIC в аппаратное обеспечение; как правило, нет большого штрафа за производительность при включении. Иногда возникают конфликты признаков, но в большинстве случаев это не является огромной сделкой.

Политики и компетентность инженерного /эксплуатационного персонала ISP различаются, и многие интернет-провайдеры (особенно в небольших странах) настолько заняты тем, что «работают», что у них нет циклов, чтобы заставить вещи «работать хорошо».

ответил Mike Pennington 16 J000000Tuesday13 2013, 14:57:39
10

Предотвращение изменения IP-адреса источника требует наличия списков доступа (ACL) или фильтрации одностороннего обратного пути (uRPF).

Ни приходят бесплатно. uRPF обычно требует дополнительного поиска или более сложного одиночного поиска, поэтому он может даже сократить вдвое вашу производительность поиска на некоторых платформах. ACL замедлит поиск и использует память.

uRPF не требует обслуживания, вы просто настраиваете его один раз и забываете. ACL нуждается в системе, которая знает, какие адреса находятся за интерфейсом, и удостоверяет, что ACL остается актуальным.

ACL более широко поддерживается, чем uRPF, uRPF - сравнительно редкая функция в устройствах уровня коммутатора L3. В «реальных» маршрутизаторах обычно доступны обе функции.

Даже если обе функции доступны, настройка uRPF в неправильном месте сети может привести к поломке сети, а не понимание ограничений ACL на конкретной платформе может привести к сбоям в работе.

Обычно вы сами не помогаете в предотвращении спуфинга исходного адреса, в основном это зависит от Интернета в целом. Вы несете ненужный риск, пытаясь это сделать, поскольку вы можете в конечном итоге разбить материал. И ваши клиенты не получат никакой выгоды, никто не заплатит вам больше за их реализацию. Так что награда низка.

Ответственный поставщик услуг делает это, потому что это правильная вещь, но нереально ожидать, что мы получим antispoofing в соответствующей большой части устройств доступа, развернутых. Гораздо более реалистичная цель состоит в том, что если мы выполняем ACL в IP-транзитных соединениях, так как здесь всего около 6000 номеров AS.

Почему это даже проблема из-за атак UDP-отражения, которые могут быть исправлены такими протоколами, как QUIC и MinimaLT, которые гарантируют, что отражение не имеет выигрыша, поскольку входящий запрос является гарантией большего, чем исходящий ответ, поэтому спуфинг теряет выгода.

В последнее время стало довольно популярно использовать UDP-отражение в качестве атаки DDoS. В потребительских устройствах CPE есть много открытых DNS-серверов, которые потребители не знают, поэтому эти потребители страдают, поскольку их домашняя связь переполнена, поскольку она используется для отражения атаки. И это также простой способ получить значительное усиление. Небольшой запрос из десятков байтов может дать большой ответ более чем на тысячу байт. Были отражения DDoS-атак, которые составляют несколько сотен гигабит в секунду, а меньше - ежедневно, только в ночь на ночь мы переносили атаку 43Gbps на одного из наших клиентов.

ответил ytti 16 J000000Tuesday13 2013, 15:02:59
5

Фильтрация исходных адресов нетривиальна в реальном мире, поскольку интернет-маршрутизация асимметрична, поэтому в принципе нам нужно получить обоснованное предположение, может ли пакет из этого источника появляться на этом входящем интерфейсе.

Для этого нет простой формулы, потому что для каждого правила, которое работает практически для всех случаев, есть также прецедент, который делает бизнес-смысл, который будет прерываться тогда.

Фильтрация обратного пути отлично работает на граничных маршрутизаторах, где есть четкое определение «внутри» и «снаружи» - вы не позволяете аутсайдерам использовать «внутренние» адреса и наоборот. Он становится более сложным, как только я начинаю использовать несколько пограничных маршрутизаторов для резервирования.

Для магистральных маршрутизаторов единственный способ фильтрации обратного пути - разрешить входящие пакеты, когда одноранговый узел объявит рабочий маршрут (независимо от того, будет ли это нашим предпочтением). Это будет чрезмерно длинный поиск, легко обойти и разбить прецедент, когда я намеренно покупаю транзит, но не сообщаю свой префикс по этой ссылке.

ответил Simon Richter 16 J000000Tuesday13 2013, 17:08:13

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132