Skip to main content

7.3. Denial of Service

7.3. 拒绝服务

订阅请求在路由器中创建(S,G)状态以记录订阅,调用该路由器上的处理,并可能导致相邻路由器的处理。主机可以通过请求大量订阅来发起拒绝服务攻击。如果出现以下情况,可能会导致拒绝服务:

  • 当原本不需要时到达大量流量,消耗网络资源来传递它以及主机资源来丢弃它;

  • 在网络路由器中创建大量源特定组播状态,使用路由器内存和CPU资源来存储和处理状态;或

  • 生成大量控制流量来管理源特定状态,使用路由器CPU和网络带宽。

为了减少这种攻击的损害,路由器可以(MAY)具有配置选项来限制,例如,以下项目:

  • 任何一个接口上的所有主机被允许启动订阅的总速率(以限制伪造源地址攻击造成的损害)。

  • 可以从任何单个接口或主机启动的订阅总数。

然而,实现者决定人为限制订阅的速率或数量时应谨慎考虑,因为未来的应用程序可能使用大量信道。对信道订阅的速率或数量的严格限制将阻碍此类应用程序的部署。

路由器应该(SHOULD)验证订阅请求的源是接收它的接口的有效地址。不这样做将加剧伪造源地址攻击。

我们注意到这些攻击并非SSM独有——它们也存在于任意源组播中。

Last updated on