เราเตอร์ในวันนี้ป้องกันส่วนหัว IP ปลอมหรือไม่

ฉันรู้ว่าผู้คนสามารถปรับเปลี่ยนส่วนหัว IP และเปลี่ยนที่อยู่ IP ของแหล่งที่มาได้ แต่ควรง่ายสำหรับอุปกรณ์เครือข่ายเพื่อตรวจจับข้อความเหล่านั้น หากพวกเขาทำไม่ได้ทำไมมันยากจัง มันเพิ่มค่าใช้จ่ายมากเกินไปหรือไม่

— nachos
แหล่งที่มา

หมายเหตุ: วลีที่ถูกต้องคือ "ต่อต้านการปลอมแปลง" fakeบอกกับฉันว่า "การปลอมแปลง rolexes" (ซึ่ง btw เป็นแฮ็ค / การโจมตีเครือข่ายที่แตกต่างอย่างสิ้นเชิงโดยสิ้นเชิง)

— Ricky Beam

คำตอบ:

ฉันรู้ว่าผู้คนสามารถปรับเปลี่ยนส่วนหัว IP และเปลี่ยนที่อยู่ IP ของแหล่งที่มาได้ แต่ควรง่ายสำหรับอุปกรณ์เครือข่ายเพื่อตรวจจับข้อความเหล่านั้น

ที่อยู่ IP ปลอมในส่วนหัวสามารถตรวจจับและบล็อกในอุปกรณ์เครือข่ายเชิงพาณิชย์ ส่วนหัว IPv4 ปลอมอื่น ๆ อาจระบุได้ยากขึ้นเล็กน้อย คนส่วนใหญ่อ้างถึงฟังก์ชั่นในการตรวจสอบที่อยู่ IP ของแหล่งปลอมว่าเป็น "Unicast Reverse Path Forwarding" ซึ่งย่อมาจากuRPF ; uRPFถูกกำหนดในRFC 3704และถือเป็นวิธีปฏิบัติที่ดีที่สุดในปัจจุบันของอินเทอร์เน็ต ควรใช้uRPFที่เราเตอร์แรกจากอุปกรณ์ของลูกค้าหรือที่เราเตอร์ edge ในเครือข่ายองค์กร

หากพวกเขาทำไม่ได้ทำไมมันยากจัง มันเพิ่มค่าใช้จ่ายมากเกินไปหรือไม่

ตราบใดที่เราเตอร์ไม่ใช่เราเตอร์ที่ใช้ซีพียูก็ไม่มีโทษด้านประสิทธิภาพ เราเตอร์ / สวิตช์หลายตัวที่ ISP ใช้มีคุณสมบัตินี้ใน ASIC ด้านฮาร์ดแวร์ ปกติแล้วจะไม่มีโทษประสิทธิภาพที่ยอดเยี่ยมสำหรับการเปิดใช้ บางครั้งมีคุณสมบัติที่ขัดแย้งกัน แต่อีกครั้งนี่ไม่ใช่เรื่องใหญ่ในกรณีส่วนใหญ่

นโยบายและความสามารถของบุคลากรด้านวิศวกรรม / การปฏิบัติงานของ ISP นั้นแตกต่างกันไปและผู้ให้บริการอินเทอร์เน็ตหลายราย (โดยเฉพาะในประเทศเล็ก ๆ ) กำลังยุ่งอยู่กับการทำให้สิ่งต่าง ๆ เป็น "งาน" ที่พวกเขาไม่มีวงจรที่จะทำให้สิ่งต่างๆ

— ไมค์เพนนิงตัน
แหล่งที่มา

จะเกิดอะไรขึ้นถ้า isp a และ isp b เชื่อมต่อกัน หาก isp a ไม่ได้ใช้ uRPF isp b สามารถทำอะไรกับมันได้หรือไม่?

— Nachos

โดย "ทำทุกอย่างเกี่ยวกับเรื่องนี้" ฉันถือว่าคุณสมมติว่า ISP B ไม่มีเราเตอร์ตัวแรกจาก CPE ใช่ ISP B สามารถใช้ uRPF ได้เช่นกัน แต่ต้องปรับใช้ในสิ่งที่เรียกว่าโหมดหลวมเนื่องจากลักษณะไม่สมมาตรของการกำหนดเส้นทาง bgp ซึ่งหมายความว่าไม่มีประสิทธิภาพในการปิดกั้นส่วนหัวปลอม ... เป็นหลักเพียงตรวจสอบให้แน่ใจว่ามีเส้นทางสำหรับที่อยู่ IP ต้นทางในตารางเส้นทาง ... ดังนั้นหากมีคนส่งทราฟฟิกที่ไม่สามารถเข้าถึงได้อย่างสมบูรณ์

— Mike Pennington

ไม่เป็นความจริงอย่างแน่นอนว่าเฉพาะ CPU ที่ใช้เท่านั้นที่จะได้รับประสิทธิภาพ ตัวอย่างเช่นใน 7600/6500 / PFC3 ที่ไม่มี uRPF คุณสามารถสังเกตุ linerate ที่แพ็คเก็ตขนาดต่ำสุดใน WS-X67040-10GE เปิด uRFP และเฟรมที่เล็กที่สุดคือเกือบสองเท่าที่ 101B ซึ่งคุณสามารถส่งได้ที่ linerate อุปกรณ์ใหม่ที่ใช้ NPU (ASR9k, MX, SR และอื่น ๆ ) ก็มีต้นทุนที่ไม่เป็นศูนย์ใน uRPF เอ็นจิ้นการประมวลผลแพ็คเก็ตใช้เวลามากกว่าเมื่อเปิดใช้งานมากกว่าเมื่อปิดใช้งานการปรับขนาดเกินขนาดสามารถช่วยลดต้นทุนได้

— ytti

@ytti ปริมาณการใช้อินเทอร์เน็ตโดยเฉลี่ยอยู่ที่ 101 ไบต์ขึ้นไป นี่ไม่ใช่ปัญหาร้ายแรงสำหรับ imix

— Mike Pennington

@ytti ฉันมีความชัดเจนมากในการตอบคำถามฉัน ... อย่าลืมว่า 6500 Sup7203BXL เป็นเครื่อง 400Mpps เมื่อเติมข้อมูลด้วย DFC อย่างเต็มที่ ใส่ DFC หนึ่งตัวต่อ WS-X6704 ไว้ในแชสซีและไม่มีอะไรต้องกังวล ... ถ้าคุณบ้าพอที่จะพึ่งพาการส่งต่อ PFC3 สำหรับแชสซีทั้งหมดเท่านั้นคุณก็ถามถึงปัญหาที่คุณได้รับ

— Mike Pennington

การป้องกันการเปลี่ยนแปลงที่อยู่ IP ต้นทางต้องการรายการการเข้าถึง (ACL) หรือการกรองเส้นทางย้อนกลับแบบ unicast (uRPF)

ไม่มาฟรี โดยทั่วไปแล้ว uRPF ต้องการการค้นหาเพิ่มเติมหรือการค้นหาเดี่ยวที่ซับซ้อนยิ่งขึ้นดังนั้นมันอาจลดประสิทธิภาพการค้นหาของคุณลงในบางแพลตฟอร์ม ACL จะชะลอการค้นหาและใช้หน่วยความจำ

uRPF ไม่มีการบำรุงรักษาคุณเพียงแค่กำหนดค่าหนึ่งครั้งและลืมมันไป ACL ต้องการระบบที่รู้ว่าที่อยู่ใดอยู่หลังอินเทอร์เฟซและตรวจสอบให้แน่ใจว่า ACL นั้นเป็นปัจจุบันอยู่เสมอ

ACL ได้รับการสนับสนุนอย่างกว้างขวางมากกว่า uRPF, uRPF เป็นคุณสมบัติที่หาได้ยากในอุปกรณ์ระดับสวิตช์ L3 ในเราเตอร์ 'ของจริง' มักจะมีคุณสมบัติทั้งสองอย่าง

แม้ว่าคุณสมบัติทั้งสองจะพร้อมใช้งานการกำหนดค่า uRPF ในตำแหน่งที่ไม่ถูกต้องของเครือข่ายสามารถทำลายเครือข่าย แต่การไม่เข้าใจข้อ จำกัด ACL เฉพาะแพลตฟอร์มอาจทำให้เกิดการขัดข้อง

ตัวคุณเองโดยปกติแล้วคุณจะไม่ได้รับประโยชน์ในการป้องกันการปลอมแปลงแหล่งที่อยู่ส่วนใหญ่เป็นอินเทอร์เน็ตที่มีประโยชน์มาก คุณมีความเสี่ยงที่ไม่เป็นศูนย์ในการพยายามทำสิ่งนั้น ๆ และลูกค้าของคุณจะไม่ได้รับผลประโยชน์ใด ๆ ไม่มีใครจะจ่ายให้คุณมากขึ้นในการดำเนินการ ดังนั้นรางวัลต่ำทำมัน

ผู้ให้บริการที่รับผิดชอบทำเพราะมันเป็นสิ่งที่ถูกต้อง แต่ไม่สมจริงที่คาดหวังว่าเราจะได้รับ antispoofing ในอุปกรณ์การเข้าถึงส่วนใหญ่ที่เกี่ยวข้องซึ่งนำไปใช้งาน เป้าหมายที่เป็นจริงมากขึ้นคือถ้าเราทำ ACL ในการเชื่อมต่อการขนส่ง IP เนื่องจากมีเพียงตัวเลขประมาณ 6,000 ตัวเท่านั้น

เหตุใดปัญหานี้จึงเป็นปัญหาเนื่องจากการโจมตีด้วยการสะท้อนกลับของ UDP ซึ่งสามารถแก้ไขได้โดยโปรโตคอลเช่น QUIC และ MinimaLT ซึ่งทำให้มั่นใจได้ว่าการสะท้อนกลับไม่มีผลกำไรเนื่องจากการสืบค้นที่เข้ามานั้นรับประกันว่าจะมีขนาดใหญ่กว่าคำตอบขาออก

เมื่อไม่นานมานี้ได้รับความนิยมมากในการใช้การสะท้อนกลับ UDP ในฐานะการโจมตี DDoS มีเซิร์ฟเวอร์ DNS แบบเปิดกว้างจำนวนมากในอุปกรณ์ CPE ของผู้บริโภคซึ่งผู้บริโภคไม่ทราบดังนั้นผู้บริโภคเหล่านั้นต้องทนทุกข์เนื่องจากการเชื่อมต่อที่บ้านของพวกเขาคับคั่งเพราะมันถูกใช้เพื่อสะท้อนการโจมตี และยังเป็นวิธีที่ง่ายในการรับการขยายที่สำคัญคิวรีขนาดเล็กจำนวนสิบไบต์สามารถให้คำตอบที่มีขนาดใหญ่กว่าพันไบต์ มีการสะท้อนการโจมตี DDoS ซึ่งมีหลายร้อยกิกะบิตต่อวินาทีและมีขนาดเล็กกว่าทุกวันเพียงแค่คืนวันอาทิตย์เราส่งการโจมตี 43Gbps ให้กับลูกค้ารายหนึ่งของเรา

— ytti
แหล่งที่มา

การกรองที่อยู่แหล่งข้อมูลเป็นสิ่งที่ไม่สำคัญในโลกแห่งความเป็นจริงเนื่องจากการกำหนดเส้นทางอินเทอร์เน็ตไม่สมมาตรดังนั้นในหลักการเราจำเป็นต้องมีการคาดเดาการศึกษาว่าแพ็คเก็ตจากแหล่งนี้น่าจะปรากฏบนอินเทอร์เฟซขาเข้านี้หรือไม่

ไม่มีสูตรง่าย ๆ สำหรับสิ่งนั้นเพราะสำหรับกฎทุกข้อที่ใช้งานได้กับเกือบทุกกรณีก็มีกรณีการใช้งานที่ทำให้เกิดความรู้สึกทางธุรกิจ

การกรองเส้นทางย้อนกลับใช้งานได้ดีบนเราเตอร์ขอบซึ่งมีคำจำกัดความที่ชัดเจนของ "ภายใน" และ "นอก" - คุณไม่อนุญาตให้บุคคลภายนอกใช้ที่อยู่ "ภายใน" และในทางกลับกัน มันซับซ้อนมากขึ้นทันทีที่ฉันเริ่มใช้เราเตอร์ที่มีหลายขอบสำหรับการสำรองข้อมูล

สำหรับเราเตอร์แบ็คโบนเราสามารถใช้วิธีการกรองเส้นทางย้อนกลับได้เพียงวิธีเดียวคืออนุญาตให้มีแพ็กเก็ตขาเข้าเมื่อเพียร์ประกาศเส้นทางการทำงาน (ไม่ว่ามันจะเป็นความชอบของเราก็ตาม) นั่นจะเป็นการค้นหาที่มีข้อห้ามยาวหลีกเลี่ยงได้ง่ายและแบ่งกรณีการใช้งานที่ฉันตั้งใจซื้อการขนส่ง แต่ไม่ประกาศคำนำหน้าของฉันลงในลิงก์นั้น

— Simon Richter
แหล่งที่มา

การกรองที่อยู่แหล่งที่มานั้นไม่สำคัญในโลกแห่งความเป็นจริงซึ่งควรเปลี่ยนเป็น uRPF / เข้มงวด ในฐานะที่เป็นแหล่งที่อยู่กรองผ่านการใช้ ACL ไม่เชื่อเรื่องพระเจ้าเพื่อกำหนดเส้นทางสมมาตร นั่นคือมันเป็นไปไม่ได้ที่ฉันจะใช้ uRPF / เข้มงวดกับลูกค้าที่ใช้การเชื่อมต่อ IP ผ่านเครือข่ายหลายจุด แต่ก็เป็นเรื่องง่ายสำหรับฉันที่จะ ACL

— ytti