Các bộ định tuyến ngày nay ngăn chặn các tiêu đề IP giả?


11

Tôi biết mọi người có thể sửa đổi các tiêu đề IP và thay đổi địa chỉ IP nguồn, nhưng thật đơn giản để các thiết bị mạng phát hiện các tin nhắn đó. Nếu họ không, tại sao nó quá khó? Nó có thêm quá nhiều chi phí không?


lưu ý: cụm từ chính xác là "chống giả mạo". fake nói với tôi "giả mạo rolexes" (trong đó, btw là một cuộc tấn công / tấn công mạng hoàn toàn khác)
Ricky Beam

Câu trả lời:


17

Tôi biết mọi người có thể sửa đổi các tiêu đề IP và thay đổi địa chỉ IP nguồn, nhưng thật đơn giản để các thiết bị mạng phát hiện các tin nhắn đó.

Địa chỉ nguồn IP giả trong các tiêu đề có thể được phát hiện và chặn trong thiết bị mạng thương mại; các tiêu đề IPv4 giả khác có thể khó xác định hơn một chút. Hầu hết mọi người đề cập đến chức năng phát hiện địa chỉ IP nguồn giả là "Chuyển tiếp đường dẫn ngược Unicast", viết tắt là uRPF ; uRPF được định nghĩa trong RFC 3704 và được coi là một thực tiễn tốt nhất hiện nay trên internet . uRPF nên được áp dụng tại bộ định tuyến đầu tiên từ thiết bị tiền đề của khách hàng hoặc tại bộ định tuyến biên trong mạng công ty.

Nếu họ không, tại sao nó quá khó? Nó có thêm quá nhiều chi phí không?

Miễn là bộ định tuyến không phải là bộ định tuyến dựa trên CPU thì sẽ không bị phạt hiệu năng. Nhiều bộ định tuyến / chuyển mạch được sử dụng bởi các ISP có tính năng này được tích hợp trong ASIC trong phần cứng; thông thường không có một hình phạt hiệu suất lớn để bật nó lên. Đôi khi có những xung đột tính năng, nhưng một lần nữa, đây không phải là vấn đề lớn trong hầu hết các trường hợp.

Các chính sách và năng lực của nhân viên kỹ thuật / vận hành ISP khác nhau, và nhiều ISP (đặc biệt ở các quốc gia nhỏ hơn) quá bận rộn với việc khiến mọi thứ "hoạt động" đến mức họ không có chu kỳ để làm cho mọi thứ "hoạt động tốt".


1
Điều gì xảy ra nếu isp a và isp b được kết nối với nhau. Nếu isp a không sử dụng uRPF, isp b có thể làm gì không?
Nachos

Bằng cách "làm bất cứ điều gì về nó", tôi giả sử rằng bạn giả định rằng ISP B không có bộ định tuyến đầu tiên từ CPE. Có, ISP B cũng có thể sử dụng uRPF, nhưng họ phải triển khai nó ở chế độ lỏng lẻo do tính chất không đối xứng của định tuyến bgp. Điều này có nghĩa là nó không hiệu quả trong việc chặn các tiêu đề giả mạo ... về cơ bản nó chỉ đảm bảo rằng một tuyến đường cho địa chỉ IP nguồn tồn tại trong bảng định tuyến ... vì vậy nếu ai đó gửi lưu lượng truy cập hoàn toàn không thể thực hiện được, nó có thể bị chặn.
Mike Pennington

Điều đó không hoàn toàn đúng khi chỉ CPU dựa trên bị phạt hiệu năng. Ví dụ: trong 7600/6500 / PFC3 mà không có uRPF, bạn có thể quan sát lớp trong các gói kích thước tối thiểu trong WS-X67040-10GE, bật uRFP và khung nhỏ nhất gần gấp đôi lên 101B mà bạn có thể gửi ở mức xếp hàng. Các thiết bị mới hơn dựa trên NPU (ASR9k, MX, SR, v.v.) cũng có chi phí khác không trong uRPF, công cụ xử lý gói mất nhiều thời gian hơn khi được bật so với khi bị vô hiệu hóa, kích thước quá mức có thể giúp trừu tượng hóa chi phí.
ytti

4
@ytti, lưu lượng truy cập internet trung bình trên 101 byte. Đây không phải là một vấn đề nghiêm trọng đối với imix.
Mike Pennington

1
@ytti, tôi đã rất rõ ràng trong việc đánh giá câu trả lời của mình ... Tôi đã nói "thông thường không có một hình phạt hiệu suất lớn nào khi bật nó lên". Chúng ta đừng quên rằng 6500 Sup7203BXL là một cỗ máy 400Mpps khi được trang bị đầy đủ các DFC; đặt một DFC cho mỗi WS-X6704 vào khung máy và không có gì phải lo lắng ... nếu bạn đủ điên rồ chỉ phụ thuộc vào chuyển tiếp PFC3 cho toàn bộ khung, bạn đã hỏi về vấn đề bạn gặp phải.
Mike Pennington

10

Ngăn chặn thay đổi địa chỉ IP nguồn yêu cầu danh sách truy cập (ACL) hoặc lọc đường dẫn ngược unicast (uRPF).

Không đến miễn phí. uRPF thường yêu cầu tra cứu bổ sung hoặc tra cứu đơn phức tạp hơn, do đó, nó thậm chí có thể giảm một nửa hiệu suất tra cứu của bạn trong một số nền tảng. ACL sẽ làm chậm quá trình tra cứu và sử dụng bộ nhớ.

uRPF là bảo trì miễn phí, bạn chỉ cần cấu hình một lần và quên nó. ACL cần hệ thống biết địa chỉ nào nằm sau giao diện và đảm bảo ACL luôn cập nhật.

ACL được hỗ trợ rộng rãi hơn uRPF, uRPF là tính năng tương đối hiếm trong các thiết bị cấp chuyển đổi L3. Trong các bộ định tuyến 'thực' thường cả hai tính năng đều khả dụng.

Ngay cả khi cả hai tính năng đều khả dụng, việc định cấu hình uRPF ở vị trí sai của mạng có thể phá vỡ mạng, không hiểu các giới hạn ACL cụ thể của nền tảng có thể gây ra sự cố ngừng hoạt động.

Thông thường, bản thân bạn không có lợi trong việc ngăn chặn giả mạo địa chỉ nguồn, chủ yếu là Internet có lợi cho ai. Bạn mang rủi ro khác không khi cố gắng làm điều đó, vì cuối cùng bạn có thể phá vỡ mọi thứ. Và khách hàng của bạn sẽ không nhận được bất kỳ lợi ích nào, không ai sẽ trả cho bạn nhiều hơn để thực hiện chúng. Vì vậy, phần thưởng là thấp làm điều đó.

Nhà cung cấp dịch vụ có trách nhiệm làm điều đó, bởi vì đó là điều đúng đắn, nhưng không thực tế khi hy vọng rằng chúng tôi sẽ chống lại việc sử dụng phần lớn các thiết bị truy cập được triển khai. Mục tiêu thực tế hơn nhiều là, nếu chúng ta thực hiện ACL trong các kết nối chuyển tuyến IP, vì chỉ có khoảng 6000 con số AS cứng đầu ở đó.

Tại sao vấn đề này thậm chí là do các cuộc tấn công phản chiếu UDP, có thể được khắc phục bằng các giao thức như QUIC và MinimaLT để đảm bảo rằng sự phản chiếu không có lợi ích, vì truy vấn đến được đảm bảo lớn hơn câu trả lời đi, vì vậy việc giả mạo sẽ mất lợi ích.

Gần đây, một lần nữa trở nên khá phổ biến để sử dụng phản xạ UDP như tấn công DDoS. Có rất nhiều máy chủ DNS mở rộng trong các thiết bị CPE tiêu dùng mà người tiêu dùng không biết, vì vậy những người tiêu dùng đó phải chịu đựng vì kết nối nhà của họ bị tắc nghẽn vì nó được sử dụng để phản ánh cuộc tấn công. Và đó cũng là cách dễ dàng để đạt được sự khuếch đại đáng kể truy vấn nhỏ hàng chục byte có thể mang lại câu trả lời lớn hơn một nghìn byte. Đã có các cuộc tấn công DDoS phản ánh là vài trăm gigabit mỗi giây và nhỏ hơn là hàng ngày, chỉ trong đêm chủ nhật, chúng tôi đã vận chuyển cuộc tấn công 43Gbps cho một trong những khách hàng của chúng tôi.


5

Lọc địa chỉ nguồn là không cần thiết trong thế giới thực, vì định tuyến Internet không đối xứng, vì vậy về nguyên tắc, chúng tôi cần một phỏng đoán có giáo dục xem một gói từ nguồn này có khả năng xuất hiện trên giao diện đến này không.

Không có công thức dễ dàng cho điều đó, bởi vì đối với mọi quy tắc hoạt động cho hầu hết các trường hợp, cũng có một trường hợp sử dụng có ý nghĩa kinh doanh sẽ phá vỡ sau đó.

Lọc đường dẫn ngược hoạt động tốt trên các bộ định tuyến biên, nơi có định nghĩa rõ ràng về "bên trong" và "bên ngoài" - bạn không cho phép người ngoài sử dụng địa chỉ "bên trong" và ngược lại. Nó trở nên phức tạp hơn ngay khi tôi bắt đầu sử dụng nhiều bộ định tuyến biên để dự phòng.

Đối với các bộ định tuyến đường trục, cách duy nhất để lọc đường dẫn ngược có thể được thực hiện là cho phép các gói đến khi thiết bị ngang hàng thông báo tuyến làm việc (bất kể đó có phải là ưu tiên của chúng tôi hay không). Đó sẽ là một tra cứu quá dài, dễ dàng phá vỡ và phá vỡ trường hợp sử dụng khi tôi cố tình mua quá cảnh nhưng không thông báo tiền tố của tôi xuống liên kết đó.


1
Lọc địa chỉ nguồn là không cần thiết trong thế giới thực , điều này nên được thay đổi thành uRPF / nghiêm ngặt. Vì lọc địa chỉ nguồn thông qua việc sử dụng ACL là bất khả tri đối với định tuyến đối xứng. Đó là, tôi không thể uRPF / nghiêm ngặt đối với các khách hàng chuyển đổi IP đa phương tiện của mình, nhưng tôi dễ dàng ACL họ.
ytti
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.