Zum Hauptinhalt springen

8. Security Considerations (Sicherheitsüberlegungen)

8. Security Considerations (Sicherheitsüberlegungen)

Dieser Path MTU Discovery Mechanismus ermöglicht zwei Denial-of-Service-Angriffe, die beide darauf basieren, dass eine böswillige Partei falsche Datagram Too Big Nachrichten an einen Internet-Host sendet.

Beim ersten Angriff zeigt die falsche Nachricht eine PMTU an, die viel kleiner als die Realität ist. Dies sollte den Datenfluss nicht vollständig stoppen, da der Opfer-Host seine PMTU-Schätzung niemals unter das absolute Minimum setzen sollte, aber bei 8 Oktetten IP-Daten pro Datagramm könnte der Fortschritt langsam sein.

Beim anderen Angriff zeigt die falsche Nachricht eine PMTU an, die größer als die Realität ist. Wenn dies geglaubt wird, könnte dies zu einer vorübergehenden Blockierung führen, da das Opfer Datagramme sendet, die von einem Router verworfen werden. Innerhalb einer Rundlaufzeit würde der Host seinen Fehler entdecken (durch Empfang von Datagram Too Big Nachrichten von diesem Router), aber häufige Wiederholung dieses Angriffs könnte dazu führen, dass viele Datagramme verworfen werden. Ein Host sollte jedoch niemals seine Schätzung der PMTU basierend auf einer Datagram Too Big Nachricht erhöhen und sollte daher nicht anfällig für diesen Angriff sein.

Eine böswillige Partei könnte auch Probleme verursachen, wenn sie ein Opfer daran hindern könnte, legitime Datagram Too Big Nachrichten zu empfangen, aber in diesem Fall sind einfachere Denial-of-Service-Angriffe verfügbar.

Letztes Update am