Zum Hauptinhalt springen

7.3. Denial of Service (Denial-of-Service)

7.3. Denial of Service (Denial-of-Service)

Abonnementanfragen erzeugen (S,G)-Zustand in Routern, um das Abonnement aufzuzeichnen, rufen Verarbeitungsaufwand auf diesem Router auf und können zu Verarbeitungsaufwand bei benachbarten Routern führen. Ein Host kann einen Denial-of-Service-Angriff (DoS-Angriff) starten, indem er eine große Anzahl von Abonnements anfordert. Ein Denial-of-Service kann entstehen, wenn:

  • eine große Menge an Verkehr eintrifft, die eigentlich nicht benötigt wird, und Netzwerkressourcen für die Zustellung sowie Host-Ressourcen für das Verwerfen verbraucht;

  • eine große Menge an quellenspezifischem Multicast-Zustand in Netzwerkroutern erzeugt wird, der Router-Speicher und CPU-Ressourcen zum Speichern und Verarbeiten des Zustands verbraucht; oder

  • eine große Menge an Steuerverkehr zur Verwaltung des quellenspezifischen Zustands erzeugt wird, der Router-CPU und Netzwerkbandbreite verbraucht.

Um den Schaden durch einen solchen Angriff zu begrenzen, KÖNNEN (MAY) Router Konfigurationsoptionen haben, um beispielsweise folgende Punkte zu begrenzen:

  • Die Gesamtrate, mit der alle Hosts auf einer einzelnen Schnittstelle Abonnements initiieren dürfen (um den Schaden durch Angriffe mit gefälschten Quelladressen zu begrenzen).

  • Die Gesamtzahl der Abonnements, die von einer einzelnen Schnittstelle oder einem einzelnen Host initiiert werden können.

Implementierer, die sich entscheiden, die Rate oder Anzahl der Abonnements künstlich zu begrenzen, sollten jedoch sorgfältig abwägen, da zukünftige Anwendungen möglicherweise eine große Anzahl von Kanälen verwenden. Strenge Beschränkungen der Rate oder Anzahl von Kanalabonnements würden die Bereitstellung solcher Anwendungen behindern.

Router SOLLTEN (SHOULD) überprüfen, ob die Quelle einer Abonnementanfrage eine gültige Adresse der Schnittstelle ist, auf der sie empfangen wurde. Andernfalls werden Angriffe mit gefälschten Quelladressen verschlimmert.

Wir stellen fest, dass diese Angriffe nicht SSM-spezifisch sind — sie existieren auch bei Any-Source Multicast (ASM).

Letztes Update am