15.4.5. Атаки типа «отказ в обслуживании»
Процедура обратной маршрутизируемости имеет защиту от атак типа «отказ в обслуживании», связанных с исчерпанием ресурсов. Узлы-корреспонденты не сохраняют никакого состояния относительно отдельных мобильных узлов до тех пор, пока не поступит аутентичное сообщение Binding Update. Это достигается благодаря конструированию маркеров keygen token из одноразовых номеров и узловых ключей, которые не являются специфическими для отдельных мобильных узлов. Маркеры keygen token могут быть реконструированы узлом-корреспондентом базируясь на информации о домашнем и временном адресе, которая поступает в сообщении Binding Update. Это означает, что узлы-корреспонденты защищены от атак, направленных на исчерпание памяти, за исключением случаев, когда злоумышленники находятся на пути передачи пакетов. Благодаря использованию симметричной криптографии узлы-корреспонденты также относительно защищены от атак, связанных с исчерпанием ресурсов ЦП.
Тем не менее, как описано в [27], имеются ситуации, в которых мобильный узел или узел-корреспондент не может определить, действительно ли им нужна привязка, или они введены в заблуждение злоумышленником, который заставляет их в это поверить. Поэтому необходимо рассматривать ситуации, при которых реализуются такие атаки.
Даже если оптимизация маршрута является очень важной оптимизацией, она все-таки остается только оптимизацией. Можильный узел может обмениваться данными с узлом-корреспондентом даже если корреспондент отказывается принимать какие-либо обновления привязки. Однако при этом пострадает производительность, поскольку пакеты от узла-корреспондента к мобильному узлу будут маршрутизироваться через домашнего агента мобильного узла, а не идти по более прямому маршруту. Узел-корреспондент может защитить самого себя от некоторых атак, направленных на исчерпание ресурсов, следующим образом. Если узел-корреспондент «заваливается» большим количеством сообщений Binding Update, криптографическая проверка целостности которых обнаруживает ошибки, он может приостановить обработку сообщений Binding Update. Если узел-корреспондент определяет, что он расходует больше ресурсов на проверку поддельных сообщений Binding Update, чем он вероятно может сохранить при приеме действительных сообщений Binding Update, то он может молча отбрасывать некоторые или все сообщения Binding Update без выполнения каких-либо криптографических операций.
Уровни, выше уровня IP, обычно предоставляют дополнительную информацию, чтобы решить, имеется ли необходимость установления привязки для конкретного партнера. Например, TCP знает, имеет ли узел очередь данных, которые он пытается переслать партнеру. Реализация данной спецификации не требует использования информации от более высоких протокольных уровней, однако некоторые реализации, вероятно, окажутся способными управлять ресурсами более эффективно благодаря использованию такого рода информации.
Мы также требуем, чтобы все реализации были способны административно отключать оптимизацию маршрутов.