Статус документа
В этом документе описывается практический опыт (Best Current Practices), который может быть полезен сообществу Internet. Документ служит приглашением к дискуссии в целях дальнейшего совершенствования и может распространяться без ограничений.
1. Введение
В требованиях к маршрутизаторам [RFC1812] указано, что эти устройства должны принимать и пересылать широковещательный трафик Directed Broadcast (широковещательный пакет, направленный в сеть с заданным префиксом). В этом же документе указано, что маршрутизаторы должны иметь опцию, позволяющую запретить эту функцию, и по умолчанию функция поддержки directed broadcast должна быть включена. Однако поддержка пересылки таких пакетов обеспечивает возможность организации эффективных атак на другие сети.
Смена принятого по умолчанию поведения маршрутизаторов позволит при подключении новых маршрутизаторов к сети Internet не усугублять уже существующую проблему.
2. Обсуждение
Атаки типа Denial of Service привели к необходимости разработки системы фильтрации входящего трафика — Ingress Filtering [RFC2827]. Фильтрация на входе сейчас используется многими сетевыми операторами, а также в корпоративных сетях для предотвращения DOS-атак.
Недавние Smurf-атаки [3] были направлены против сетей, которые поддерживают directed broadcast из внешних сетей. Поддержка directed broadcast делала такие сети «усилителями» Smurf-атак.
Реализация ingress-фильтров является наилучшим решением проблемы, однако ограничение использования directed broadcast также сыграет позитивную роль.
Провайдеры и корпоративные пользователи хотят оградить свои сети от пакетов directed broadcast, приходящих из внешних сетей.
Mobile IP [RFC2002] предлагает использовать directed broadcast в мобильных узлах для динамического обнаружения сетей. Хотя такая функция применяется в некоторых реализациях, польза ее совершенно не очевидна. В работе [RFC2794] предложены другие способы решения таких задач. Имеет смысл рассмотреть вопрос об отмене использования directed broadcast в Mobile IP пока рассматривается вопрос о принятии этого стандарта.
3. Рекомендации
Внести в документ [RFC1812] следующие изменения:
Параграф 4.2.2.11 (d) заменить на:
(d) { <Network-prefix>, -1 }
Directed Broadcast — широковещательный адрес для сети с указанным префиксом. Недопустимо использование таких адресов в поле отправителя. Маршрутизатор может генерировать пакеты Network Directed Broadcast. Маршрутизатор может иметь конфигурационную опцию, разрешающую прием пакетов directed broadcast, однако эта опция должна быть отключена по умолчанию и, таким образом, маршрутизатор не должен получать пакеты Network Directed Broadcast, пока это на задано явно конечным пользователем.
Второй абзац параграфа 5.3.5.2 заменить на:
- Маршрутизатор может иметь опцию для разрешения приема широковещательных пакетов для заданной префиксом сети (network-prefix-directed broadcast) на уровне интерфейсов и может иметь опцию для разрешения пересылки таких пакетов. Эти опции по умолчанию должны быть отключены, чтобы блокировать прием и передачу пакетов network-prefix-directed broadcast.
4. Вопросы безопасности
Задача этого документа состоит в снижении эффективности некоторых типов атак на службы (DoS).
5. Литература
| [RFC1812] | F. Baker, «Requirements for IP Version 4 Routers», RFC 1812, Июнь 1995. |
| [RFC2827] | P. Ferguson и D. Senie, «Защита от DoS-атак с использованием подмена IP-адресов», RFC 2827, Май 2000. |
| [3] | CERT Advisory CA-1998-01, «Smurf IP Denial-of-Service Attacks», Март 2000 |
| [RFC2002] | C. Perkins, «IP Mobility Support», RFC 2002, October 1996. |
| [RFC2794] | P. Calhoun, C. Perkins, «Mobile IP Dynamic Home Address Allocation Extensions», RFC 2794, Март 2000 |
6. Благодарности
Автор благодарит Брэндона Росса (Brandon Ross) из Mindspring и Гэбриела Монтенегро (Gabriel Montenegro) из Sun за их вклад в работу.
Адрес автора
Daniel Senie
Amaranth Networks Inc.
324 Still River Road
Bolton, MA 01740
Phone: (978) 779-6813
EMail: moc.eines@std