Tôi biết mọi người có thể sửa đổi các tiêu đề IP và thay đổi địa chỉ IP nguồn, nhưng thật đơn giản để các thiết bị mạng phát hiện các tin nhắn đó. Nếu họ không, tại sao nó quá khó? Nó có thêm quá nhiều chi phí không?
Tôi biết mọi người có thể sửa đổi các tiêu đề IP và thay đổi địa chỉ IP nguồn, nhưng thật đơn giản để các thiết bị mạng phát hiện các tin nhắn đó. Nếu họ không, tại sao nó quá khó? Nó có thêm quá nhiều chi phí không?
Câu trả lời:
Tôi biết mọi người có thể sửa đổi các tiêu đề IP và thay đổi địa chỉ IP nguồn, nhưng thật đơn giản để các thiết bị mạng phát hiện các tin nhắn đó.
Địa chỉ nguồn IP giả trong các tiêu đề có thể được phát hiện và chặn trong thiết bị mạng thương mại; các tiêu đề IPv4 giả khác có thể khó xác định hơn một chút. Hầu hết mọi người đề cập đến chức năng phát hiện địa chỉ IP nguồn giả là "Chuyển tiếp đường dẫn ngược Unicast", viết tắt là uRPF ; uRPF được định nghĩa trong RFC 3704 và được coi là một thực tiễn tốt nhất hiện nay trên internet . uRPF nên được áp dụng tại bộ định tuyến đầu tiên từ thiết bị tiền đề của khách hàng hoặc tại bộ định tuyến biên trong mạng công ty.
Nếu họ không, tại sao nó quá khó? Nó có thêm quá nhiều chi phí không?
Miễn là bộ định tuyến không phải là bộ định tuyến dựa trên CPU thì sẽ không bị phạt hiệu năng. Nhiều bộ định tuyến / chuyển mạch được sử dụng bởi các ISP có tính năng này được tích hợp trong ASIC trong phần cứng; thông thường không có một hình phạt hiệu suất lớn để bật nó lên. Đôi khi có những xung đột tính năng, nhưng một lần nữa, đây không phải là vấn đề lớn trong hầu hết các trường hợp.
Các chính sách và năng lực của nhân viên kỹ thuật / vận hành ISP khác nhau, và nhiều ISP (đặc biệt ở các quốc gia nhỏ hơn) quá bận rộn với việc khiến mọi thứ "hoạt động" đến mức họ không có chu kỳ để làm cho mọi thứ "hoạt động tốt".
Ngăn chặn thay đổi địa chỉ IP nguồn yêu cầu danh sách truy cập (ACL) hoặc lọc đường dẫn ngược unicast (uRPF).
Không đến miễn phí. uRPF thường yêu cầu tra cứu bổ sung hoặc tra cứu đơn phức tạp hơn, do đó, nó thậm chí có thể giảm một nửa hiệu suất tra cứu của bạn trong một số nền tảng. ACL sẽ làm chậm quá trình tra cứu và sử dụng bộ nhớ.
uRPF là bảo trì miễn phí, bạn chỉ cần cấu hình một lần và quên nó. ACL cần hệ thống biết địa chỉ nào nằm sau giao diện và đảm bảo ACL luôn cập nhật.
ACL được hỗ trợ rộng rãi hơn uRPF, uRPF là tính năng tương đối hiếm trong các thiết bị cấp chuyển đổi L3. Trong các bộ định tuyến 'thực' thường cả hai tính năng đều khả dụng.
Ngay cả khi cả hai tính năng đều khả dụng, việc định cấu hình uRPF ở vị trí sai của mạng có thể phá vỡ mạng, không hiểu các giới hạn ACL cụ thể của nền tảng có thể gây ra sự cố ngừng hoạt động.
Thông thường, bản thân bạn không có lợi trong việc ngăn chặn giả mạo địa chỉ nguồn, chủ yếu là Internet có lợi cho ai. Bạn mang rủi ro khác không khi cố gắng làm điều đó, vì cuối cùng bạn có thể phá vỡ mọi thứ. Và khách hàng của bạn sẽ không nhận được bất kỳ lợi ích nào, không ai sẽ trả cho bạn nhiều hơn để thực hiện chúng. Vì vậy, phần thưởng là thấp làm điều đó.
Nhà cung cấp dịch vụ có trách nhiệm làm điều đó, bởi vì đó là điều đúng đắn, nhưng không thực tế khi hy vọng rằng chúng tôi sẽ chống lại việc sử dụng phần lớn các thiết bị truy cập được triển khai. Mục tiêu thực tế hơn nhiều là, nếu chúng ta thực hiện ACL trong các kết nối chuyển tuyến IP, vì chỉ có khoảng 6000 con số AS cứng đầu ở đó.
Tại sao vấn đề này thậm chí là do các cuộc tấn công phản chiếu UDP, có thể được khắc phục bằng các giao thức như QUIC và MinimaLT để đảm bảo rằng sự phản chiếu không có lợi ích, vì truy vấn đến được đảm bảo lớn hơn câu trả lời đi, vì vậy việc giả mạo sẽ mất lợi ích.
Gần đây, một lần nữa trở nên khá phổ biến để sử dụng phản xạ UDP như tấn công DDoS. Có rất nhiều máy chủ DNS mở rộng trong các thiết bị CPE tiêu dùng mà người tiêu dùng không biết, vì vậy những người tiêu dùng đó phải chịu đựng vì kết nối nhà của họ bị tắc nghẽn vì nó được sử dụng để phản ánh cuộc tấn công. Và đó cũng là cách dễ dàng để đạt được sự khuếch đại đáng kể truy vấn nhỏ hàng chục byte có thể mang lại câu trả lời lớn hơn một nghìn byte. Đã có các cuộc tấn công DDoS phản ánh là vài trăm gigabit mỗi giây và nhỏ hơn là hàng ngày, chỉ trong đêm chủ nhật, chúng tôi đã vận chuyển cuộc tấn công 43Gbps cho một trong những khách hàng của chúng tôi.
Lọc địa chỉ nguồn là không cần thiết trong thế giới thực, vì định tuyến Internet không đối xứng, vì vậy về nguyên tắc, chúng tôi cần một phỏng đoán có giáo dục xem một gói từ nguồn này có khả năng xuất hiện trên giao diện đến này không.
Không có công thức dễ dàng cho điều đó, bởi vì đối với mọi quy tắc hoạt động cho hầu hết các trường hợp, cũng có một trường hợp sử dụng có ý nghĩa kinh doanh sẽ phá vỡ sau đó.
Lọc đường dẫn ngược hoạt động tốt trên các bộ định tuyến biên, nơi có định nghĩa rõ ràng về "bên trong" và "bên ngoài" - bạn không cho phép người ngoài sử dụng địa chỉ "bên trong" và ngược lại. Nó trở nên phức tạp hơn ngay khi tôi bắt đầu sử dụng nhiều bộ định tuyến biên để dự phòng.
Đối với các bộ định tuyến đường trục, cách duy nhất để lọc đường dẫn ngược có thể được thực hiện là cho phép các gói đến khi thiết bị ngang hàng thông báo tuyến làm việc (bất kể đó có phải là ưu tiên của chúng tôi hay không). Đó sẽ là một tra cứu quá dài, dễ dàng phá vỡ và phá vỡ trường hợp sử dụng khi tôi cố tình mua quá cảnh nhưng không thông báo tiền tố của tôi xuống liên kết đó.