क्या आज के राउटर नकली आईपी हेडर को रोकते हैं?

11

मुझे पता है कि लोग आईपी हेडर को संशोधित कर सकते हैं और स्रोत आईपी पते को बदल सकते हैं, लेकिन नेटवर्क उपकरणों के लिए उन संदेशों का पता लगाना सरल होना चाहिए। यदि वे नहीं करते हैं, तो यह इतना कठिन क्यों है? क्या यह बहुत अधिक उपरि जोड़ता है?

routing  router  ipv4  best-practices 
मकई के नमकीन
स्रोत
नोट: सही वाक्यांश "एंटी-स्पूफिंग" है। नकली मुझे "जालसाज़ रोलेक्स" कहता है (जो, btw एक पूरी तरह से अलग नेटवर्क हैक / हमला है)
रिकी बीम

जवाबों:

17

मुझे पता है कि लोग आईपी हेडर को संशोधित कर सकते हैं और स्रोत आईपी पते को बदल सकते हैं, लेकिन नेटवर्क उपकरणों के लिए उन संदेशों का पता लगाना सरल होना चाहिए।

हेडर में नकली आईपी स्रोत पते का पता लगाया जा सकता है और वाणिज्यिक नेटवर्क गियर में अवरुद्ध किया जा सकता है; अन्य नकली IPv4 हेडर की पहचान करना थोड़ा कठिन हो सकता है। अधिकांश लोग फ़ंक्शन को संदर्भित करते हैं नकली स्रोत आईपी पते का पता लगाने के लिए " यूनिकैस्ट रिवर्स पाथ फ़ॉरवर्डिंग", जिसे संक्षिप्त रूप से uRPF कहा जाता है ; uRPF को RFC 3704 में परिभाषित किया गया है और इसे एक इंटरनेट बेस्ट करंट प्रैक्टिस माना जाता है । uRPF को ग्राहक आधार उपकरण से पहले राउटर पर, या कॉर्पोरेट नेटवर्क में एज राउटर पर लागू किया जाना चाहिए।

यदि वे नहीं करते हैं, तो यह इतना कठिन क्यों है? क्या यह बहुत अधिक उपरि जोड़ता है?

जब तक राउटर एक सीपीयू-आधारित राउटर नहीं होता है तब तक कोई प्रदर्शन जुर्माना नहीं होता है। ISPs द्वारा उपयोग किए जाने वाले कई राउटर / स्विच में हार्डवेयर में ASIC में निर्मित यह सुविधा होती है; आम तौर पर इसे चालू करने के लिए बहुत बड़ा प्रदर्शन जुर्माना नहीं होता है। कभी-कभी फीचर संघर्ष होते हैं, लेकिन फिर से ज्यादातर मामलों में यह बहुत बड़ी बात नहीं है।

आईएसपी इंजीनियरिंग / परिचालन कर्मियों की नीतियां और योग्यता अलग-अलग होती है, और कई आईएसपी (विशेष रूप से छोटे देशों में) "काम" करने के लिए इतने व्यस्त हैं कि उनके पास चीजों को "अच्छी तरह से" बनाने के लिए चक्र नहीं हैं।

माइक पेनिंगटन
स्रोत
1
क्या होगा अगर isp a और isp b एक दूसरे से जुड़े हुए हैं। अगर isp uRPF का उपयोग नहीं करता है, तो क्या isp b इसके बारे में कुछ नहीं कर सकता है?
नाचोस
"इसके बारे में कुछ भी करें", मुझे लगता है कि आप मान रहे हैं कि आईएसपी बी में सीपीई से पहला राउटर नहीं है। हां, आईएसपी बी भी यूआरपीएफ का उपयोग कर सकता है, लेकिन उन्हें इसे बीजीपी रूटिंग के असममित प्रकृति के कारण ढीली मोड नामक चीज़ में तैनात करना होगा । इसका मतलब यह है कि यह नकली हेडर को अवरुद्ध करने में उतना प्रभावी नहीं है ... यह अनिवार्य रूप से सिर्फ यह सुनिश्चित करता है कि स्रोत आईपी पते के लिए मार्ग रूटिंग टेबल में मौजूद है ... इसलिए यदि कोई ट्रैफ़िक भेजता है जो पूरी तरह से अप्राप्य है, तो इसे अवरुद्ध किया जा सकता है।
माइक पेनिंगटन
यह कड़ाई से सच नहीं है कि केवल सीपीयू आधारित प्रदर्शन का दंड भुगतना पड़ता है। उदाहरण के लिए 7600/6500 / PFC3 में uRPF के बिना आप WS-X67040-10GE में न्यूनतम आकार के पैकेट पर लाइनरेट देख सकते हैं, uRFP को चालू करें और सबसे छोटा फ्रेम लगभग 101B तक दोगुना हो जाता है जिसे आप लिनरेट भेज सकते हैं। नए उपकरण जो एनपीयू आधारित हैं (ASR9k, MX, SR आदि) की भी गैर-शून्य लागत uRPF में है, पैकेट प्रोसेसिंग इंजन को अधिक समय लगता है जब यह अक्षम होने पर सक्षम होता है, तो ओवर-डायमेंशन लागत को कम करने में मदद कर सकता है।
यती
4
@ytti, 101 बाइट्स से ऊपर इंटरनेट ट्रैफिक का औसत। यह imix के लिए एक गंभीर समस्या नहीं है।
माइक पेनिंगटन
1
@ytti, मैं अपने उत्तर को उत्तीर्ण करने में बहुत स्पष्ट था ... मैंने कहा "सामान्य रूप से इसे चालू करने के लिए कोई बड़ा प्रदर्शन जुर्माना नहीं है"। आइए यह मत भूलो कि 6500 Sup7203BXL एक 400Mpps मशीन है जब पूरी तरह से DFCs के साथ आबादी है; चेसिस में एक DFC प्रति WS-X6704 डालें, और चिंता करने की कोई बात नहीं है ... यदि आप पागल हैं तो केवल PFC3 पर निर्भर करते हुए पूरे चेसिस के लिए फॉरवर्डिंग करते हैं, अच्छी तरह से आपने जो समस्या प्राप्त की है, उसके लिए कहा है।
माइक पेनिंगटन
10

स्रोत आईपी पते के परिवर्तन को रोकने के लिए या तो पहुंच सूचियों (ACL) या यूनिकस्ट रिवर्स पाथ फ़िल्टरिंग (uRPF) की आवश्यकता होती है।

न मुफ्त में आना। uRPF को आम तौर पर अतिरिक्त लुकअप या अधिक जटिल सिंगल लुकअप की आवश्यकता होती है, इसलिए यह आपके लुकअप प्रदर्शन को कुछ प्लेटफॉर्म में भी रोक सकता है। ACL लुकअप को धीमा कर देगा और मेमोरी का उपयोग करेगा।

uRPF रखरखाव मुक्त है, आप बस इसे एक बार कॉन्फ़िगर करें और इसे भूल जाएं। ACL को ऐसी प्रणाली की आवश्यकता होती है जो यह जानती हो कि कौन से पते इंटरफ़ेस के पीछे हैं और सुनिश्चित करता है कि ACL अद्यतित रहता है।

एसीएल अधिक व्यापक रूप से uRPF से समर्थित है, L3 स्विच स्तर के उपकरणों में uRPF तुलनात्मक रूप से दुर्लभ विशेषता है। 'वास्तविक' राउटर में आमतौर पर दोनों सुविधाएँ उपलब्ध होती हैं।

यहां तक ​​कि अगर दोनों सुविधाएं उपलब्ध हैं, तो नेटवर्क के गलत स्थान पर uRPF को कॉन्फ़िगर करना नेटवर्क को तोड़ सकता है, न कि प्लेटफ़ॉर्म विशिष्ट एसीएल सीमाओं को समझने से आउटेज हो सकता है।

आमतौर पर आप स्वयं स्रोत पते को खराब होने से रोकने में लाभ नहीं उठाते हैं, यह ज्यादातर इंटरनेट पर होता है जो लाभान्वित होते हैं। आप इसे करने की कोशिश कर रहे गैर-शून्य जोखिम उठाते हैं, क्योंकि आप सामान को खत्म कर सकते हैं। और आपके ग्राहकों को कोई लाभ नहीं होगा, कोई भी उन्हें लागू करने के लिए आपको अधिक भुगतान नहीं करेगा। इसलिए इनाम कम है।

जिम्मेदार सेवा प्रदाता इसे करते हैं, क्योंकि यह करना सही बात है, लेकिन यह उम्मीद करना अवास्तविक है कि हम प्रासंगिक रूप से उपयोग किए गए उपकरणों के बड़े हिस्से में एंटीस्पोफिंग प्राप्त करेंगे। बहुत अधिक यथार्थवादी लक्ष्य है, अगर हम आईपी ट्रांजिट कनेक्शन में एसीएल करते हैं, क्योंकि वहां लगभग 6000 या इतने ही मोटे एएस नंबर हैं।

यूडीपी परावर्तन के हमलों के कारण यह मुद्दा भी है, जो कि QUIC और मिनिमाएलटी जैसे प्रोटोकॉल द्वारा तय किया जा सकता है, जो यह सुनिश्चित करता है कि प्रतिबिंब का कोई लाभ नहीं है, क्योंकि आने वाली क्वेरी आउटगोइंग उत्तर से बड़ी होने की गारंटी है, इसलिए स्पूफिंग इस लाभ को खो देता है।

यह हाल ही में डीडीओएस हमले के रूप में यूडीपी प्रतिबिंब का उपयोग करने के लिए हाल ही में काफी लोकप्रिय हो गया है। उपभोक्ता सीपीई उपकरणों में बहुत सारे खुले डीएनएस सर्वर हैं, जिनके बारे में उपभोक्ताओं को जानकारी नहीं है, इसलिए उन उपभोक्ताओं को पीड़ा होती है क्योंकि उनके घर कनेक्शन को भीड़भाड़ है क्योंकि यह हमले को प्रतिबिंबित करने के लिए उपयोग किया जाता है। और यह महत्वपूर्ण प्रवर्धन हासिल करने का आसान तरीका है कि दसियों बाइट्स की छोटी क्वेरी हजार बाइट्स के बड़े उत्तर दे सकती है। प्रति सेकंड DDoS हमलों में कई सौ गीगाबिट होते हैं, और प्रतिदिन छोटे होते हैं, बस रविवार की रात हम अपने एक ग्राहक को 43Gbps के हमले के लिए ले जाते हैं।

ytti
स्रोत
5

स्रोत पता फ़िल्टरिंग वास्तविक दुनिया में अनौपचारिक है, क्योंकि इंटरनेट रूटिंग असममित है, इसलिए सिद्धांत रूप में हमें एक शिक्षित अनुमान की आवश्यकता है कि क्या इस स्रोत से एक पैकेट इस आने वाले इंटरफ़ेस पर दिखाई देने की संभावना है।

उसके लिए कोई आसान फार्मूला नहीं है, क्योंकि लगभग सभी मामलों के लिए काम करने वाले हर नियम के लिए, एक उपयोग मामला भी है जो व्यावसायिक समझ में आता है जो तब टूट जाएगा।

रिवर्स रूट फ़िल्टरिंग एज राउटर पर बहुत अच्छा काम करता है, जहां "अंदर" और "बाहर" की स्पष्ट परिभाषा है - आप बाहरी लोगों को "अंदर" पते और इसके विपरीत का उपयोग करने की अनुमति नहीं देते हैं। जैसे ही मैं अतिरेक के लिए कई एज राउटर का उपयोग करना शुरू करता हूं, यह अधिक जटिल हो जाता है।

रीढ़ की हड्डी के राउटर के लिए, रिवर्स पाथ फ़िल्टरिंग का एकमात्र तरीका लागू किया जा सकता है जब आने वाले पैकेट को अनुमति देने के लिए जब सहकर्मी एक कार्यशील मार्ग की घोषणा करता है (चाहे वह हमारी प्राथमिकता हो)। यह एक निषेधात्मक रूप से लंबी खोज होगी, आसानी से दरकिनार हो जाती है और उपयोग के मामले को तोड़ देती है जहां मैं जानबूझकर ट्रांजिट खरीदता हूं लेकिन उस लिंक के नीचे अपने उपसर्ग की घोषणा नहीं करता हूं।

साइमन रिक्टर
स्रोत
1
स्रोत पता फ़िल्टरिंग वास्तविक दुनिया में अनौपचारिक है, इसे uRPF / सख्त में बदला जाना चाहिए। स्रोत पते के रूप में ACL के माध्यम से फ़िल्टरिंग सममिति को रूट करने के लिए अज्ञेयवादी है। यही है, मेरे लिए यह संभव नहीं है कि मैं uRPF / मेरे बहु-आईपी आईपी-ट्रांजिट ग्राहकों को सख्त कर दूं, लेकिन मेरे लिए उन्हें एसीएल करना आसान है।
यती
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.