Apakah router hari ini mencegah header IP palsu?

11

Saya tahu orang-orang dapat memodifikasi header IP dan mengubah alamat IP sumber, tetapi seharusnya sederhana bagi perangkat jaringan untuk mendeteksi pesan-pesan itu. Jika tidak, mengapa begitu sulit? Apakah ini menambah terlalu banyak overhead?

routing router ipv4 best-practices nachos
sumber
catatan: frasa yang benar adalah "anti-spoofing". palsu mengatakan kepada saya "rolex pemalsuan" (yang, btw adalah hack / serangan jaringan yang sama sekali berbeda)
Ricky Beam

Jawaban:

17

Saya tahu orang-orang dapat memodifikasi header IP dan mengubah alamat IP sumber, tetapi seharusnya sederhana bagi perangkat jaringan untuk mendeteksi pesan-pesan itu.

Alamat sumber IP palsu dalam tajuk dapat dideteksi dan diblokir dalam gir jaringan komersial; header IPv4 palsu lainnya bisa sedikit lebih sulit untuk diidentifikasi. Kebanyakan orang menyebut fungsi untuk mendeteksi alamat IP sumber palsu sebagai "Unicast Reverse Path Forwarding", yang disingkat uRPF ; uRPF didefinisikan dalam RFC 3704 dan dianggap sebagai praktik terbaik saat ini di internet . uRPF harus diterapkan pada router pertama dari peralatan premis pelanggan, atau pada router tepi dalam jaringan perusahaan.

Jika tidak, mengapa begitu sulit? Apakah ini menambah terlalu banyak overhead?

Selama router bukan router berbasis CPU, tidak ada penalti kinerja. Banyak router / switch yang digunakan oleh ISP memiliki fitur ini dibangun menjadi ASIC dalam perangkat keras; biasanya tidak ada penalti performa yang besar untuk menyalakannya. Kadang-kadang ada konflik fitur, tetapi sekali lagi ini bukan masalah besar dalam kebanyakan kasus.

Kebijakan dan kompetensi personil teknik / operasional ISP berbeda-beda, dan banyak ISP (terutama di negara-negara kecil) sangat sibuk membuat hal-hal "berfungsi" sehingga mereka tidak memiliki siklus untuk membuat hal-hal "berfungsi dengan baik".

Mike Pennington
sumber
1
Bagaimana jika ISP dan ISP terhubung satu sama lain. Jika ISP tidak menggunakan uRPF, dapatkah ISP melakukan sesuatu tentang hal itu?
Nachos
Dengan "melakukan apa saja", saya berasumsi Anda berasumsi bahwa ISP B tidak memiliki router pertama dari CPE. Ya, ISP B juga dapat menggunakan uRPF, tetapi mereka harus menggunakannya dalam sesuatu yang disebut mode longgar karena sifat asimetris dari perutean bgp. Ini berarti itu tidak efektif dalam memblokir header palsu ... itu pada dasarnya hanya memastikan bahwa rute untuk alamat IP sumber ada di tabel routing ... jadi jika seseorang mengirim lalu lintas yang benar-benar tidak dapat diserang, itu dapat diblokir.
Mike Pennington
Tidak sepenuhnya benar bahwa hanya berbasis CPU yang mengalami penalti kinerja. Misalnya di 7600/6500 / PFC3 tanpa uRPF Anda dapat mengamati linerate pada paket ukuran minimum di WS-X67040-10GE, dapatkan uRFP dan frame terkecil hampir dua kali lipat menjadi 101B yang dapat Anda kirim di linerate. Perangkat yang lebih baru yang berbasis NPU (ASR9k, MX, SR dll) juga memiliki biaya non-nol di uRPF, mesin pengolah paket membutuhkan lebih banyak waktu ketika diaktifkan daripada dinonaktifkan, over-dimensionaling dapat membantu mengabstraksi biaya.
ytti
4
@ytti, lalu lintas internet rata-rata jauh di atas 101 byte. Ini bukan masalah serius bagi imix.
Mike Pennington
1
@ytti, saya sangat jelas dalam memenuhi syarat jawaban saya ... Saya berkata "biasanya tidak ada penalti kinerja yang sangat besar untuk menyalakannya". Jangan lupa bahwa 6500 Sup7203BXL adalah mesin 400Mpps saat diisi penuh dengan DFC; letakkan satu DFC per WS-X6704 di sasis, dan tidak ada yang perlu dikhawatirkan ... jika Anda cukup gila untuk hanya bergantung pada penerusan PFC3 untuk seluruh sasis, nah Anda menanyakan masalah yang Anda dapatkan.
Mike Pennington
10

Mencegah perubahan alamat IP sumber memerlukan daftar akses (ACL) atau penyaringan jalur balik unicast (uRPF).

Tidak ada yang datang secara gratis. uRPF biasanya membutuhkan pencarian tambahan atau pencarian tunggal yang lebih kompleks, sehingga bahkan bisa mengurangi kinerja pencarian Anda di beberapa platform. ACL akan memperlambat pencarian dan menggunakan memori.

uRPF bebas perawatan, Anda cukup mengonfigurasinya sekali dan lupakan saja. ACL membutuhkan sistem yang mengetahui alamat mana yang berada di belakang antarmuka dan memastikan ACL tetap up-to-date.

ACL lebih banyak didukung daripada uRPF, uRPF adalah fitur yang relatif jarang di perangkat tingkat switch L3. Di router 'nyata' biasanya kedua fitur tersedia.

Bahkan jika kedua fitur tersedia, mengkonfigurasi uRPF di tempat yang salah dari jaringan dapat merusak jaringan, tidak memahami batasan spesifik platform ACL dapat menyebabkan pemadaman.

Biasanya Anda sendiri tidak mendapat manfaat dalam mencegah spoofing alamat sumber, itu sebagian besar Internet pada umumnya yang diuntungkan. Anda membawa risiko yang tidak nol untuk melakukannya, karena Anda dapat merusak barang. Dan pelanggan Anda tidak akan mendapatkan manfaat apa pun, tidak ada yang akan membayar Anda lebih banyak untuk menerapkannya. Jadi pahala rendah melakukannya.

Penyedia layanan yang bertanggung jawab melakukannya, karena itu adalah hal yang benar untuk dilakukan, tetapi tidak realistis untuk berharap bahwa kita akan mendapatkan antispoofing dalam porsi besar yang relevan dari perangkat akses yang digunakan. Tujuan yang jauh lebih realistis adalah, jika kita melakukan ACL dalam koneksi transit IP, karena hanya ada sekitar 6.000 nomor AS gemuk di sana.

Mengapa ini bahkan menjadi masalah adalah karena serangan refleksi UDP, yang dapat diperbaiki oleh protokol seperti QUIC dan MinimaLT yang memastikan bahwa refleksi tidak memperoleh keuntungan, karena kueri masuk dijamin lebih besar daripada jawaban keluar, sehingga spoofing kehilangan manfaatnya.

Lagi-lagi ini menjadi cukup populer untuk menggunakan refleksi UDP sebagai serangan DDoS. Ada banyak server DNS terbuka lebar di perangkat CPE konsumen yang konsumen tidak sadari, sehingga konsumen menderita karena koneksi rumah mereka padat karena digunakan untuk mencerminkan serangan. Dan itu juga cara mudah untuk mendapatkan kueri kecil puluhan byte yang signifikan, yang dapat menghasilkan jawaban besar lebih dari seribu byte. Telah ada refleksi serangan DDoS yang beberapa ratus gigabit per detik, dan lebih kecil setiap hari, hanya malam minggu kami mengangkut serangan 43Gbps ke salah satu pelanggan kami.

ytti
sumber
5

Penyaringan alamat sumber adalah non-trivial di dunia nyata, karena perutean internet asimetris, jadi pada prinsipnya kita perlu menebak apakah suatu paket dari sumber ini akan muncul pada antarmuka yang masuk ini.

Tidak ada formula yang mudah untuk itu, karena untuk setiap aturan yang bekerja untuk hampir semua kasus, ada juga kasus penggunaan yang masuk akal bisnis yang akan melanggar itu.

Penyaringan jalur balik berfungsi dengan baik pada router tepi, di mana ada definisi yang jelas tentang "di dalam" dan "di luar" - Anda tidak mengizinkan orang luar menggunakan alamat "di dalam" dan sebaliknya. Semakin rumit setelah saya mulai menggunakan beberapa router tepi untuk redundansi.

Untuk router backbone, satu-satunya cara penyaringan jalur balik dapat diimplementasikan adalah dengan memungkinkan paket masuk ketika rekan mengumumkan rute yang berfungsi (terlepas dari apakah itu akan menjadi pilihan kami). Itu akan menjadi pencarian yang sangat panjang, mudah dielakkan dan merusak use case di mana saya sengaja membeli transit tetapi tidak mengumumkan awalan saya di tautan itu.

Simon Richter
sumber
1
Penyaringan alamat sumber adalah non-trivial di dunia nyata , ini harus diubah menjadi uRPF / ketat. Karena penyaringan alamat sumber melalui penggunaan ACL adalah agnostik untuk merute simetri. Artinya, tidak mungkin bagi saya untuk uRPF / ketat pelanggan transit IP multi-saya, tapi mudah bagi saya untuk ACL mereka.
ytti