İnsanların IP başlıklarını değiştirebileceğini ve kaynak IP adresini değiştirebileceğini biliyorum, ancak ağ cihazlarının bu mesajları algılaması basit olmalı. Eğer yapmazlarsa, neden bu kadar zor? Fazla yük ekliyor mu?
Yanıtlar:
İnsanların IP başlıklarını değiştirebileceğini ve kaynak IP adresini değiştirebileceğini biliyorum, ancak ağ cihazlarının bu mesajları algılaması basit olmalı.
Başlıklardaki sahte IP kaynak adresleri ticari ağ donanımında algılanabilir ve engellenebilir; diğer sahte IPv4 başlıklarını tanımlamak biraz daha zor olabilir. Çoğu kişi, sahte kaynak IP adreslerini algılama işlevini uRPF olarak kısaltılmış olan "Unicast Ters Yol İletme" olarak adlandırır ; uRPF , RFC 3704'te tanımlanmıştır ve bir İnternet En İyi Akım Uygulaması olarak kabul edilir . uRPF , müşteri tesisindeki ekipmanın ilk yönlendiricisine veya şirket ağındaki kenar yönlendiriciye uygulanmalıdır.
Eğer yapmazlarsa, neden bu kadar zor? Fazla yük ekliyor mu?
Yönlendirici CPU tabanlı bir yönlendirici olmadığı sürece performans cezası yoktur. ISS'ler tarafından kullanılan yönlendiricilerin / anahtarların çoğunda bu özellik donanımda ASIC olarak bulunur; normalde onu açmak için büyük bir performans cezası yoktur. Bazen özellik çatışmaları vardır, ancak yine de bu çoğu durumda büyük bir anlaşma değildir.
ISS mühendisliği / operasyonel personelinin politikaları ve yeterliliği değişiklik gösterir ve birçok ISS (özellikle daha küçük ülkelerde) işleri “işe yarar” hale getirmekle o kadar meşguldür ki, işleri “iyi işler” hale getirmek için döngüleri yoktur.
Kaynak IP adresinin değiştirilmesini önlemek için erişim listeleri (ACL) veya tek noktaya yayın ters yol filtreleme (uRPF) gerekir.
İkisi de ücretsiz gelmez. uRPF genellikle ek arama veya daha karmaşık tek arama gerektirir, bu nedenle bazı platformlarda arama performansınızı yarıya indirebilir. ACL aramayı yavaşlatır ve bellek kullanır.
uRPF bakım gerektirmez, sadece bir kez yapılandırın ve unutun. ACL, hangi adreslerin arayüzün arkasında olduğunu bilen ve ACL'nin güncel kalmasını sağlayan bir sisteme ihtiyaç duyar.
ACL, uRPF'den daha yaygın olarak desteklenir, uRPF, L3 anahtar seviyesi cihazlarında nispeten nadir bir özelliktir. 'Gerçek' yönlendiricilerde genellikle her iki özellik de mevcuttur.
Her iki özellik de mevcut olsa bile, uRPF'yi ağın yanlış yerine yapılandırmak ağa zarar verebilir, platforma özgü ACL sınırlamalarının anlaşılmaması kesintilere neden olabilir.
Genellikle kendiniz kaynak adres sahteciliğini önlemede fayda sağlamazsınız, çoğunlukla internet yararlanır. Bir şeyleri kırabileceğiniz için bunu yapmaya çalışırken sıfır olmayan bir risk taşıyorsunuz. Ve müşterileriniz hiçbir fayda sağlamayacak, hiç kimse size bunları uygulamak için daha fazla para ödemeyecek. Yani ödül düşük.
Sorumlu servis sağlayıcı bunu yapar, çünkü yapılması gereken doğru şeydir, ancak konuşlandırılan erişim cihazlarının ilgili büyük bölümünde antispoofing alacağımızı beklemek gerçekçi değildir. IP transit bağlantılarında ACL yaparsak, orada sadece yaklaşık 6000 kadar güdük AS numarası olduğu için çok daha gerçekçi bir hedef.
Bu neden bile sorun, gelen sorgunun giden yanıttan daha büyük olması garanti olduğundan, QUIC ve MinimaLT gibi protokollerle düzeltilebilen UDP yansıma saldırılarıdır, bu nedenle kimlik sahtekarlığı yararını kaybeder.
DDoS saldırısı olarak UDP yansımasını kullanmak son zamanlarda oldukça popüler hale geldi. Tüketici CPE cihazlarında tüketicilerin farkında olmadığı çok sayıda açık DNS sunucusu vardır, bu nedenle saldırıyı yansıtmak için kullanıldığından ev bağlantıları tıkandığı için bu tüketiciler acı çeker. Ayrıca önemli bir amplifikasyon elde etmenin kolay yolu, onlarca baytlık küçük bir sorgu, bin baytın üzerinde büyük bir cevap verebilir. Saniyede birkaç yüz gigabit olan DDoS saldırıları yansıtıldı ve daha küçük olan günlük, sadece pazar gecesi 43Gbps saldırıyı müşterimizden birine taşıdık.
Kaynak adresi filtrelemesi gerçek dünyada önemsizdir, çünkü İnternet yönlendirme asimetriktir, bu nedenle prensip olarak bu kaynaktan gelen bir paketin bu gelen arayüzde görünüp görünmeyeceğini eğitimli bir tahmine ihtiyacımız var.
Bunun için kolay bir formül yoktur, çünkü hemen hemen tüm durumlar için çalışan her kural için, o zaman kırılacak iş mantıklı bir kullanım durumu da vardır.
Ters yol filtreleme, "iç" ve "dış" öğelerinin açık bir tanımının olduğu kenar yönlendiricilerinde harika çalışır - yabancıların "iç" adresleri kullanmasına izin vermez ya da tam tersi. Artıklık için çoklu kenar yönlendiricileri kullanmaya başlar başlamaz karmaşıklaşır.
Omurga yönlendiricileri için, ters yol filtrelemenin uygulanabilmesinin tek yolu, eş çalışma yolunu duyurduğunda gelen pakete izin vermektir (bizim tercihimiz olup olmadığına bakılmaksızın). Bu, kasıtlı olarak uzun bir arama olurdu, kolayca atlatılabilir ve kasıtlı olarak transit satın aldığım ancak önekimi bu bağlantıdan duyurmadığım kullanım durumunu keser.