오늘날의 라우터는 가짜 IP 헤더를 방지합니까?

11

사람들이 IP 헤더를 수정하고 소스 IP 주소를 변경할 수 있다는 것을 알고 있지만 네트워크 장치가 이러한 메시지를 감지하는 것은 간단해야합니다. 그렇지 않은 경우 왜 그렇게 어렵습니까? 오버 헤드가 너무 많습니까?

routing  router  ipv4  best-practices 
나쵸
소스
참고 : 올바른 문구는 "스푸핑 방지"입니다. 가짜 나에게 "위조 롤렉스"(btw는 완전히 다른 네트워크 해킹 / 공격입니다)
Ricky Beam

답변:

17

사람들이 IP 헤더를 수정하고 소스 IP 주소를 변경할 수 있다는 것을 알고 있지만 네트워크 장치가 이러한 메시지를 감지하는 것은 간단해야합니다.

상용 네트워크 장비에서 헤더의 가짜 IP 소스 주소를 감지하고 차단할 수 있습니다. 다른 가짜 IPv4 헤더는 식별하기가 조금 더 어려울 수 있습니다. 대부분의 사람들은 생략한다 "유니 캐스트 리버스 경로 포워딩"가짜 소스 IP 주소를 감지하는 기능을 참조 가능한 uRPF을 ; uRPFRFC 3704에 정의되어 있으며 인터넷 Best Current Practice로 간주됩니다 . 고객 전제 장비의 첫 번째 라우터 또는 회사 네트워크의 에지 라우터에 uRPF 를 적용해야합니다.

그렇지 않은 경우 왜 그렇게 어렵습니까? 오버 헤드가 너무 많습니까?

라우터가 CPU 기반 라우터가 아닌 한 성능 저하가 없습니다. ISP가 사용하는 많은 라우터 / 스위치는이 기능을 하드웨어의 ASIC에 내장합니다. 일반적으로 전원을 켜면 성능이 크게 저하되지 않습니다. 때로는 기능 충돌이 발생하지만 대부분의 경우 큰 문제가 아닙니다.

ISP 엔지니어링 / 운영 요원의 정책과 역량은 다양하며 많은 ISP (특히 소규모 국가)는 일을 "일하기"로 바쁘기 때문에 일을 잘 수행하기위한주기가 없습니다.

마이크 페닝 턴
소스
1
isp a와 isp b가 서로 연결된 경우 어떻게됩니까? isp a가 uRPF를 사용하지 않는 경우 isp b가 그것에 대해 무엇을 할 수 있습니까?
Nachos
"그것에 대해 아무 것도하지 마십시오", ISP B에는 CPE의 첫 번째 라우터가 없다고 가정합니다. 예, ISP B는 uRPF를 사용할 수도 있지만 bgp 라우팅의 비대칭 적 특성으로 인해 느슨한 모드 로 배포해야합니다 . 이는 가짜 헤더를 차단하는 데 효과적이지 않다는 것을 의미합니다. 근본적으로 소스 IP 주소에 대한 경로가 라우팅 테이블에 존재하는지 확인합니다. 따라서 누군가가 완전히 라우팅 할 수없는 트래픽을 보내면 차단 될 수 있습니다.
Mike Pennington
CPU 기반에서만 성능이 저하되는 것은 아닙니다. 예를 들어 uRPF가없는 7600 / 6500 / PFC3에서는 WS-X67040-10GE의 최소 크기 패킷에서 회선 속도를 관찰 할 수 있으며 uRFP를 켜고 가장 작은 프레임은 거의 두 배로 증가하여 회선 속도로 전송할 수 있습니다. uPUF에서 NPU 기반 (ASR9k, MX, SR 등) 인 최신 장치도 비용이 0이 아니며, 패킷 처리 엔진을 사용하도록 설정하면 사용하지 않을 때보 다 시간이 오래 걸리고, 초과 크기를 사용하면 비용을 추상화하는 데 도움이됩니다.
ytti
4
@ytti, 인터넷 트래픽은 평균 101 바이트 이상입니다. 이것은 imix에게는 심각한 문제가 아닙니다.
Mike Pennington
1
@ ytti, 나는 대답을 인정하는 것이 매우 분명했다 ... 나는 "일반적으로 그것을 켜는 데 큰 성능 저하가 없다"고 말했다. 6500 Sup7203BXL은 DFC로 완전히 채워 졌을 때 400Mpps 기계라는 것을 잊지 마십시오. WS-X6704 당 하나의 DFC를 섀시에 넣으면 걱정할 필요가 없습니다 ... 전체 섀시에 대한 PFC3 전달에만 의존 할 정도로 미쳤다면 문제가 생겼습니다.
Mike Pennington
10

소스 IP 주소 변경을 방지하려면 ACL (액세스 목록) 또는 uRPF (유니 캐스트 역방향 경로 필터링)가 필요합니다.

둘 다 무료로 오지 마십시오. uRPF는 일반적으로 추가 조회 또는보다 복잡한 단일 조회가 필요하므로 일부 플랫폼에서 조회 성능이 절반으로 떨어질 수 있습니다. ACL은 조회 속도를 저하시키고 메모리를 사용합니다.

uRPF는 유지 보수가 필요 없으므로 한 번만 구성하고 잊어 버립니다. ACL은 어떤 주소가 인터페이스 뒤에 있는지 알고 ACL이 최신 상태를 유지하는 시스템을 필요로합니다.

uRPF보다 ACL이 더 광범위하게 지원되는 uRPF는 L3 스위치 레벨 장치에서 비교적 드문 기능입니다. '실제'라우터에서는 일반적으로 두 기능을 모두 사용할 수 있습니다.

두 기능을 모두 사용할 수 있더라도 네트워크의 잘못된 위치에 uRPF를 구성하면 네트워크가 중단 될 수 있습니다. 플랫폼 별 ACL 제한을 이해하지 못하면 중단 될 수 있습니다.

일반적으로 자신은 소스 주소 스푸핑을 방지하는 데 도움이되지 않으며 대부분 인터넷의 혜택을받는 사람입니다. 당신은 물건을 깨뜨리는 결과를 낳을 수 있기 때문에 위험을 무릅 쓰지 않습니다. 그리고 고객은 아무런 이익을 얻지 못할 것입니다. 보상은 낮습니다.

책임있는 서비스 제공 업체가해야 할 일이 옳기 때문에이를 수행하지만, 상당수의 액세스 장치가 배포되면 안티 스푸핑이 발생할 것으로 예상하는 것은 비현실적입니다. 훨씬 더 현실적인 목표는 IP 전송 연결에서 ACL을 수행하는 경우 약 6000 개 정도의 불완전한 AS 번호 만 있기 때문입니다.

이것이 문제가되는 이유는 들어오는 쿼리가 나가는 응답보다 커지기 때문에 QUIC 및 MinimaLT와 같은 프로토콜에 의해 수정 될 수있는 UDP 반사 공격으로 인해 반사가 이득을 갖지 않기 때문에 스푸핑의 이점을 잃게됩니다.

최근에는 UDP 리플렉션을 DDoS 공격으로 사용하는 것이 매우 인기가 있습니다. 소비자 CPE 장치에는 소비자가 알지 못하는 개방형 DNS 서버가 많이 있으므로 홈 연결이 공격을 반영하는 데 사용되어 혼잡하여 소비자가 어려움을 겪습니다. 또한 수십 바이트의 작은 쿼리로 수천 바이트 이상의 큰 응답을 얻을 수있는 상당한 증폭을 얻는 쉬운 방법입니다. 초당 수백 기가비트 인 DDoS 공격이 반영되었으며, 일요일 밤에는 고객 중 한 명에게 43Gbps 공격을 전송했습니다.

이티
소스
5

인터넷 라우팅은 비대칭 적이기 때문에 소스 주소 필터링은 현실에서 사소한 것이 아니기 때문에 원칙적으로이 소스의 패킷이이 수신 인터페이스에 나타날지 여부에 대한 교육 된 추측이 필요합니다.

거의 모든 경우에 적용되는 모든 규칙에 대해 비즈니스에 적합한 유스 케이스가 있기 때문에 쉬운 공식은 없습니다.

역방향 경로 필터링은 "내부"및 "외부"에 대한 명확한 정의가있는 에지 라우터에서 잘 작동합니다. 외부인이 "내부"주소를 사용하거나 그 반대의 경우도 허용하지 않습니다. 중복성을 위해 다중 에지 라우터를 사용하기 시작하면 더 복잡해집니다.

백본 라우터의 경우 역방향 경로 필터링을 구현할 수있는 유일한 방법은 피어가 작업 경로를 발표 할 때 들어오는 패킷을 허용하는 것입니다 (우리의 선호 여부에 관계없이). 그것은 엄청나게 긴 조회, 쉽게 우회하고 내가 의도적으로 대중 교통을 구매하지만 그 접두사를 그 링크 아래로 알리지 않는 유스 케이스를 깨뜨릴 것입니다.

사이먼 리히터
소스
1
소스 주소 필터링은 실제로 사소한 것이 아니므 로 uRPF / strict로 변경해야합니다. ACL을 통한 소스 주소 필터링은 라우팅 대칭과 무관합니다. 즉, 다중 연결된 IP 전송 고객을 uRPF / 엄격하게 할 수는 없지만 ACL을 사용하는 것은 쉽습니다.
ytti
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.