1. Introduction (Einführung)
1. Introduction (Einführung)
Ein Wiederaufleben von Denial of Service Attacks (Dienstblockade-Angriffen) [1], die auf verschiedene Ziele im Internet abzielen, hat neue Herausforderungen innerhalb der Internet Service Provider (ISP) und Netzwerksicherheits-Communities geschaffen, neue und innovative Methoden zu finden, um diese Art von Angriffen zu mildern. Die Schwierigkeiten bei der Erreichung dieses Ziels sind zahlreich; einige einfache Werkzeuge existieren bereits, um die Effektivität und den Umfang dieser Angriffe zu begrenzen, aber sie wurden nicht weitreichend implementiert.
Diese Angriffsmethode ist seit einiger Zeit bekannt. Die Verteidigung dagegen war jedoch ein anhaltendes Anliegen. Bill Cheswick wird in [2] mit den Worten zitiert, dass er ein Kapitel aus seinem Buch "Firewalls and Internet Security" [3] in letzter Minute herausgezogen hat, weil es keine Möglichkeit für einen Administrator des angegriffenen Systems gab, das System effektiv zu verteidigen. Indem er die Methode erwähnte, war er besorgt, ihre Verwendung zu fördern.
Während die in diesem Dokument diskutierte Filtermethode absolut nichts tut, um gegen Flooding-Angriffe (Überflutungsangriffe) zu schützen, die von gültigen Präfixen (IP-Adressen) stammen, wird sie einem Angreifer innerhalb des ursprünglichen Netzwerks verbieten, einen Angriff dieser Art zu starten, indem er gefälschte Quelladressen verwendet, die nicht den Ingress-Filterregeln entsprechen. Alle Anbieter von Internet-Konnektivität werden dringend aufgefordert, die in diesem Dokument beschriebene Filterung zu implementieren, um Angreifer daran zu hindern, gefälschte Quelladressen zu verwenden, die nicht innerhalb eines Bereichs von legitim angekündigten Präfixen liegen. Mit anderen Worten, wenn ein ISP Routing-Ankündigungen für mehrere nachgelagerte Netzwerke aggregiert, sollte eine strikte Verkehrsfilterung verwendet werden, um Verkehr zu verbieten, der behauptet, außerhalb dieser aggregierten Ankündigungen zu stammen.
Ein zusätzlicher Vorteil der Implementierung dieser Art von Filterung besteht darin, dass sie es ermöglicht, den Urheber leicht zu seiner wahren Quelle zurückzuverfolgen, da der Angreifer eine gültige und legitim erreichbare Quelladresse verwenden müsste.