 | Эта статья требует дополнительных ссылок для проверки . ( февраль 2014 г. ) ( Узнайте, как и когда удалить это сообщение-шаблон ) |
В компьютерных сетях , входная фильтрация является методом , используемым для обеспечения того , чтобы входящие пакеты на самом деле от сети , от которых они утверждают, что происходят. Это может использоваться в качестве контрмеры против различных атак с подменой пакетов, когда пакеты злоумышленника содержат поддельные IP-адреса, чтобы затруднить поиск источника атаки. Этот метод часто используется в атаке типа « отказ в обслуживании» , и это основная цель входящей фильтрации. [1]
Проблема [ править ]
Сети получают пакеты из других сетей. Обычно пакет содержит IP-адрес компьютера, который его отправил. Это позволяет устройствам в принимающей сети знать, откуда он пришел, позволяя маршрутизировать ответ обратно (среди прочего), за исключением случаев, когда IP-адреса используются через прокси или поддельный IP-адрес, который не определяет конкретного пользователя в пределах этот пул пользователей.
IP-адрес отправителя может быть подделан (« подделан »), что характеризует атаку спуфинга . Это маскирует происхождение отправленных пакетов, например, при атаке типа « отказ в обслуживании» . То же самое верно и для прокси, хотя и другим способом, чем «подмена IP».
Возможные решения [ править ]
Одно из возможных решений включает использование промежуточных Интернет-шлюзов (т. Е. Серверов, соединяющих разнородные сети по пути, по которому идет любой данный пакет), фильтрующих или запрещающих любой пакет, который считается незаконным. Шлюз, обрабатывающий пакет, может просто полностью игнорировать пакет или, где это возможно, он может отправить пакет обратно отправителю, ретранслируя сообщение о том, что незаконный пакет был отклонен. Системы предотвращения вторжений на хост (HIPS) являются одним из примеров технических инженерных приложений, которые помогают выявлять, предотвращать и / или сдерживать нежелательные, неожиданные и / или подозрительные события и вторжения.
Любой маршрутизатор, реализующий входящую фильтрацию, проверяет поле IP-адреса источника IP-пакетов, которые он получает, и отбрасывает пакеты, если пакеты не имеют IP-адреса в блоке IP-адресов, к которому подключен интерфейс. Это может быть невозможно, если конечный хост является многосетевым и также отправляет транзитный сетевой трафик.
При входящей фильтрации пакеты, поступающие в сеть, фильтруются, если сеть, отправляющая их, не должна отправлять пакеты с исходных IP-адресов. Если конечный хост является тупиковой сетью или хостом, маршрутизатору необходимо фильтровать все IP-пакеты, которые в качестве исходного IP- адреса имеют частные адреса ( RFC 1918 ), псевдослучайные адреса или адреса, не совпадающие с сетевым адресом интерфейса. [2]
Сети [ править ]
Входящая в сеть фильтрация - это метод фильтрации пакетов , используемый многими поставщиками Интернет-услуг для предотвращения подделки адресов источника Интернет-трафика и, таким образом, косвенной борьбы с различными типами сетевых злоупотреблений путем отслеживания Интернет-трафика до его источника.
Фильтрация входящего сетевого трафика - это политика «добрососедства», основанная на сотрудничестве между интернет-провайдерами для их взаимной выгоды.
В лучших текущих методах для фильтрации сети ингрессии, документируются Engineering Task Force Интернета в BCP 38 и BCP 84 , которые определяются RFC 2827 и RFC 3704 , соответственно. [3] [4]
BCP 84 рекомендует, чтобы вышестоящие провайдеры IP-соединений фильтровали пакеты, поступающие в их сети от нисходящих клиентов, и отбрасывали любые пакеты, у которых есть исходный адрес, не назначенный этому клиенту.
Есть много возможных способов реализации этой политики; один общий механизм для включения обратной переадресации пути на ссылки на клиент, которые косвенно применять эту политику , основанную на поставщик пути фильтрации из своих клиентов маршрутных объявлений .
Развертывание [ править ]
По состоянию на 2012 год, в одном отчете говорится, что, вопреки общему мнению об отсутствии развертывания BCP 38, около 80% Интернета (по различным параметрам) уже применяли фильтрацию пакетов с защитой от спуфинга в своих сетях. [5]
См. Также [ править ]
- Исходящая фильтрация
- Отмена входа
- Подмена IP-адреса
- Префикс угона
Ссылки [ править ]
- ^ Zhauniarovich Юрий; Додиа, Приянка (июнь 2019). «Сортировка мусора: фильтрация трафика DRDoS Amplification в сетях провайдеров» . Конференция IEEE 2019 года по программному обеспечению сети (NetSoft) . IEEE. DOI : 10.1109 / netsoft.2019.8806653 . ISBN 978-1-5386-9376-6.
- ^ Роберт Гезельтер (1995) Безопасность в Интернете Глава 23 в Хатте, Босворте и Хойтте (1995) «Справочник по компьютерной безопасности, третье издание», Wiley, раздел 23.6 (b), стр. 23-12 и след.
- ^ Фергюсон, П .; Сени, Д. (май 2000 г.). Фильтрация входящего сетевого трафика: защита от атак типа «отказ в обслуживании», использующих подмену IP-адреса источника . IETF . DOI : 10,17487 / RFC2827 . BCP 38. RFC 2827 . Проверено 18 фев 2014 .
- ^ Бейкер, Ф .; Савола, П. (март 2004 г.). Входящая фильтрация для многосетевых сетей . IETF . DOI : 10,17487 / RFC3704 . BCP 84. RFC 3704 . Проверено 18 фев 2014 .
- ↑ Барри Грин (11 июня 2012 г.). «Все должны развернуть BCP 38! Подождите, они…» . senki.org.
Внешние ссылки [ править ]
- RFC 2827 - Фильтрация входящего сетевого трафика: защита от атак типа «отказ в обслуживании», в которых используется подмена IP-адреса источника (BCP 38)
- RFC 3704 Фильтрация входящего трафика для многосетевых сетей (BCP 84)
- Джей Р. Эшворт. "BCP38.info" .
- Индекс BCP IETF
