10. Security Considerations (安全考量)
10. 安全考量 (Security Considerations)
我们考虑每种类型的伪造消息的后果。
查询消息 (Query Message):
来自 IP 地址低于当前查询者的机器的伪造查询消息将导致查询者职责被分配给伪造者。如果伪造者随后不再发送查询消息, 其他路由器的其他查询者存在计时器将超时, 其中一个将恢复查询者角色。在此期间, 如果伪造者忽略离开消息, 流量可能会流向没有成员的组长达 [组成员资格间隔]。
报告消息 (Report messages):
伪造的报告消息可能导致组播路由器认为子网上有某个组的成员, 而实际上没有。来自本地子网的伪造报告消息是无意义的, 因为在主机上加入组通常是非特权操作, 因此本地用户可以轻松获得相同的结果而无需伪造任何消息。来自外部来源的伪造报告消息更麻烦; 有两种防御措施:
- 如果无法将数据包的源地址识别为属于接收数据包的接口上分配的子网, 则忽略报告。
- 忽略没有路由器警报选项 [RFC 2113] 的报告消息, 并要求路由器不转发报告消息。
离开消息 (Leave message):
伪造的离开消息将导致查询者为相关组发送组特定查询。这会在每个路由器和组的每个成员上造成额外处理, 但不会导致所需流量丢失。有两种防御措施:
- 如果无法将数据包的源地址识别为属于接收数据包的接口上分配的子网, 则忽略离开消息。
- 忽略没有路由器警报选项 [RFC 2113] 的离开消息, 并要求路由器不转发离开消息。