Zum Hauptinhalt springen

3. Restricting forged traffic (Beschränkung gefälschten Verkehrs)

3. Restricting forged traffic (Beschränkung gefälschten Verkehrs)

Die Probleme, die mit dieser Art von Angriff auftreten, sind zahlreich und betreffen Mängel in Host-Software-Implementierungen, Routing-Methoden und den TCP/IP-Protokollen selbst. Durch die Einschränkung von Transit-Verkehr, der von einem nachgelagerten Netzwerk stammt, auf bekannte und absichtlich angekündigte Präfixe kann jedoch das Problem des Source Address Spoofing (Quelladressfälschung) in diesem Angriffsszenario praktisch eliminiert werden.

                           11.0.0.0/8
                               /
                           router 1
                             /
                            /
                           /                       204.69.207.0/24
     ISP <----- ISP <---- ISP <--- ISP <-- router <-- attacker
      A          B         C        D         2
                /
               /
              /
          router 3
            /
        12.0.0.0/8

Im obigen Beispiel befindet sich der Angreifer innerhalb von 204.69.207.0/24, das von ISP D Internet-Konnektivität bereitgestellt wird. Ein Eingangsverkehrsfilter auf dem Ingress-Link (Eingangslink) von "router 2", der Konnektivität zum Netzwerk des Angreifers bereitstellt, beschränkt den Verkehr, um nur Verkehr zuzulassen, der von Quelladressen innerhalb des 204.69.207.0/24-Präfixes stammt, und verhindert, dass ein Angreifer "ungültige" Quelladressen verwendet, die außerhalb dieses Präfixbereichs liegen.

Mit anderen Worten würde der Ingress-Filter auf "router 2" oben überprüfen:

IF    packet's source address from within 204.69.207.0/24
THEN  forward as appropriate

IF    packet's source address is anything else
THEN  deny packet

Netzwerkadministratoren sollten Informationen über Pakete protokollieren, die verworfen werden. Dies bietet dann eine Grundlage für die Überwachung verdächtiger Aktivitäten.

Letztes Update am