Статус документа
Этот документ содержит информацию для сообщества Internet. Документ может распространяться без ограничений
Тезисы
Недавно наблюдавшиеся DoS-атаки с использованием подмены адреса отправ ителя показали наличие серьезной опасности для провайдеров Internet (ISP) и сообщества Internet в целом. В этом документе рассматривается простой и эффектив ный метод борьбы с такими путем фильтрации входящего трафика с целью блокировки DoS, в которых используются адреса IP, не относящиеся к точкам агрегирования ISP.
Оглавление
- 1. Введение
- 2. Основы
- 3. Ограничение фальсифицированного трафика
- 4. Дополнительные возможности сетевого оборудования
- 5. Недостатки
- 6. Заключение
- 7. Вопросы безопасности
- 8. Благодарности
- 9. Литература
- 10. Адреса авторов
1. Введение
Организация DoS-атак на различные сайты Internet [1] заставляет провайдеров и организации, связанные с безопасностью, искать новые методы смягчения таких атак. Достижение этой цели сопряжено с многочисленными трудностями, однако существует ряд простых средств, позволяющих ограничить эффективность и область распространения таких атак. Эти средства борьбы с атаками реализованы пока недостаточно широко.
Этот тип атак известен уже достаточно давно. Защита от таких атак однако еще находится на этапе становления. В статье [2] сказано, что Билл Чесвик (Bill Cheswick) - автор книги "Firewalls and Internet Security" [3] - заявил, что в последний момент он исключил из своей книги главу с описанием таких атак, поскольку у администратора атакуемой системы нет эффективных способов защиты, а описывая метод [атаки], следует учитывать возможность его практического применения.
Хотя предложенный здесь метод ничуть не поможет при лавинных атаках с использованием корректных IP-адресов, возможности использования атакующими подставных адресов будут ограничены правилами фильтрации сетей, из которых организуются атаки. Всем провайдерам настоятельно рекомендуется реализовать описанные в данном документе фильтры для того, чтобы лишить атакующих возможности использовать подставные адреса за пределами легитим но анонсируемых префиксов. Иными словами, если ISP агрегирует маршрутные анонсы для множества обслуживаемых им сетей, этот провайдер должен использовать строгую фильтрацию для предотвращения трафика, переданного с указанием адресов отправителя за пределами агрегируемого блока адресов.
Дополнительным преимуществом предложенного метода является простота отслеживания источников атак, поскольку атакующие будут вынуждены использовать в поле отправ ителя легитимные адреса.