Zum Hauptinhalt springen

6. Security Considerations (Sicherheitsüberlegungen)

Dieser Path MTU Discovery-Mechanismus ermöglicht zwei DoS-Angriffe, die beide darauf basieren, dass eine böswillige Partei falsche Packet Too Big-Nachrichten an einen Knoten sendet.

Beim ersten Angriff gibt die falsche Nachricht eine PMTU an, die viel kleiner ist als die Realität. Als Reaktion sollte der betroffene Knoten seine PMTU-Schätzung niemals unter die IPv6-Mindest-Link-MTU setzen. Ein Absender, der fälschlicherweise auf diese MTU reduziert, würde eine suboptimale Leistung beobachten.

Beim zweiten Angriff gibt die falsche Nachricht eine PMTU an, die größer ist als die Realität. Wenn dies geglaubt wird, könnte dies zu einer vorübergehenden Blockierung führen, da der betroffene Knoten Pakete sendet, die von einem Router verworfen werden. Innerhalb einer Round-Trip-Zeit würde der Knoten seinen Fehler entdecken (Empfang von Packet Too Big-Nachrichten von diesem Router), aber eine häufige Wiederholung dieses Angriffs könnte dazu führen, dass viele Pakete verworfen werden. Ein Knoten darf jedoch seine Schätzung der PMTU nicht aufgrund einer Packet Too Big-Nachricht erhöhen, sodass er nicht anfällig für diesen Angriff sein sollte.

Beide dieser Angriffe können eine Black-Hole-Verbindung verursachen, d.h. der TCP-Three-Way-Handshake wird korrekt abgeschlossen, aber die Verbindung hängt beim Datentransfer.

Eine böswillige Partei könnte auch Probleme verursachen, wenn sie einen betroffenen Knoten daran hindern könnte, legitime Packet Too Big-Nachrichten zu empfangen, aber in diesem Fall sind einfachere DoS-Angriffe verfügbar.

Wenn die ICMPv6-Filterung den Empfang von ICMPv6 Packet Too Big-Nachrichten verhindert, lernt die Quelle nicht die tatsächliche Path MTU. "Packetization Layer Path MTU Discovery" [RFC4821] basiert nicht auf Netzwerkunterstützung für ICMPv6-Nachrichten und wird daher als robuster angesehen als Standard-PMTUD. Sie ist nicht anfällig für "Black-Holed"-Verbindungen, die durch die Filterung von ICMPv6-Nachrichten verursacht werden. Siehe [RFC4890] für Empfehlungen zur Filterung von ICMPv6-Nachrichten.

Letztes Update am