跳到主要内容

5. Liabilities (责任)

5. Liabilities (责任)

这种性质的过滤有可能破坏某些类型的 "特殊" 服务。然而, 提供这些类型特殊服务的 ISP 考虑实施这些服务的替代方法以避免受到入口流量过滤的影响, 这符合其最佳利益。

Mobile IP (移动 IP), 如 [6] 中定义的, 特别受到入口流量过滤的影响。按照规定, 到移动节点的流量是隧道化的, 但来自移动节点的流量不是隧道化的。这导致来自移动节点的数据包具有与站点所连接的网络不匹配的源地址。为了适应入口过滤和其他问题, Mobile IP 工作组开发了 "反向隧道" 的方法, 在 [7] 中规定。这提供了一种方法, 使移动节点传输的数据在传输到互联网之前隧道化到归属代理。反向隧道方案还有其他好处, 包括更好地处理多播流量。鼓励那些实施移动 IP 系统的人实施这种反向隧道方法。

如前所述, 虽然入口流量过滤大大降低了源地址欺骗的成功率, 但它并不排除攻击者使用允许前缀过滤器范围内另一台主机的伪造源地址。然而, 它确实确保当这种性质的攻击确实发生时, 网络管理员可以确信攻击实际上源自正在通告的已知前缀内。这简化了追踪罪魁祸首的过程, 在最坏的情况下, 管理员可以阻止一系列源地址, 直到问题得到解决。

如果在使用 DHCP 或 BOOTP 的环境中使用入口过滤, 网络管理员最好确保在适当的时候允许源地址为 0.0.0.0 且目的地址为 255.255.255.255 的数据包到达路由器中的中继代理。然而, 定向广播复制的范围应该受到控制, 而不是任意转发。

最后 更新