Sei que as pessoas podem modificar os cabeçalhos IP e alterar o endereço IP de origem, mas deve ser simples para os dispositivos de rede detectar essas mensagens. Se não, por que é tão difícil? Isso adiciona muita sobrecarga?
routing
router
ipv4
best-practices
nachos
fonte
fonte
Respostas:
Os endereços de origem IP falsos nos cabeçalhos podem ser detectados e bloqueados em equipamentos de rede comerciais; outros cabeçalhos IPv4 falsos podem ser um pouco mais difíceis de identificar. A maioria das pessoas se refere à função para detectar endereços IP de origem falsos como "Encaminhamento de caminho reverso Unicast", que é abreviado por uRPF ; O uRPF é definido na RFC 3704 e é considerado uma melhor prática atual da Internet . O uRPF deve ser aplicado no primeiro roteador a partir do equipamento nas instalações do cliente ou no roteador de borda em uma rede corporativa.
Desde que o roteador não seja um roteador baseado em CPU, não há uma penalidade de desempenho. Muitos dos roteadores / switches usados pelos ISPs possuem esse recurso embutido em um ASIC em hardware; normalmente não há uma penalidade de desempenho enorme para ativá-lo. Às vezes, existem conflitos de recursos, mas novamente isso não é grande coisa na maioria dos casos.
As políticas e a competência do pessoal de engenharia / operação do ISP variam e muitos ISPs (particularmente em países menores) estão tão ocupados em fazer as coisas "funcionarem" que não têm ciclos para fazê-las "funcionar bem".
fonte
Impedir a alteração do endereço IP de origem requer listas de acesso (ACL) ou filtragem de caminho reverso unicast (uRPF).
Nem venha de graça. O uRPF normalmente requer pesquisa adicional ou pesquisa única mais complexa, podendo até reduzir pela metade o desempenho da pesquisa em algumas plataformas. A ACL desacelerará a pesquisa e usará memória.
O uRPF não requer manutenção, basta configurá-lo uma vez e esquecê-lo. A ACL precisa de um sistema que saiba quais endereços estão por trás da interface e verifique se a ACL permanece atualizada.
ACL mais amplamente suportado que o uRPF, o uRPF é um recurso comparativamente raro nos dispositivos de nível de switch L3. Em roteadores 'reais', geralmente ambos os recursos estão disponíveis.
Mesmo que ambos os recursos estejam disponíveis, a configuração do uRPF no local errado da rede pode interromper a rede, não entender as limitações específicas da plataforma ACL pode causar interrupções.
Normalmente, você mesmo não se beneficia em impedir a falsificação de endereços de origem, principalmente a Internet em geral que se beneficia. Você corre riscos diferentes de zero tentando fazê-lo, pois pode acabar quebrando coisas. E seus clientes não obterão nenhum benefício, ninguém pagará mais para implementá-los. Portanto, a recompensa é baixa.
O provedor de serviços responsável faz isso, porque é a coisa certa a fazer, mas não é realista esperar que recebamos antispoofing em uma parte relevante de dispositivos de acesso implantados. Um objetivo muito mais realista é, se fizermos ACL em conexões de trânsito IP, pois existem apenas cerca de 6000 ou mais números AS tão grossos lá.
O motivo pelo qual esse problema ocorre é por causa dos ataques de reflexão UDP, que podem ser corrigidos por protocolos como o QUIC e o MinimaLT, que garantem que a reflexão não tenha ganhos, já que a consulta recebida garante maior do que a resposta de saída, portanto, a falsificação perde seu benefício.
Recentemente, tornou-se bastante popular o uso da reflexão UDP como ataque DDoS. Existem muitos servidores DNS abertos nos dispositivos de CPE dos consumidores, os quais os consumidores não sabem, portanto, esses consumidores sofrem porque a conexão doméstica é congestionada, pois é usada para refletir ataques. E também é uma maneira fácil de obter amplificação significativa. Uma pequena consulta de dezenas de bytes pode render uma resposta grande de mais de mil bytes. Houve ataques DDoS de reflexão, que são várias centenas de gigabits por segundo, e menores são diários, apenas domingo à noite, transportamos o ataque de 43 Gbps para um de nossos clientes.
fonte
A filtragem de endereços de origem não é trivial no mundo real, porque o roteamento da Internet é assimétrico, portanto, em princípio, precisamos adivinhar se é provável que um pacote dessa fonte apareça nessa interface de entrada.
Não existe uma fórmula fácil para isso, porque para todas as regras que funcionam em quase todos os casos, há também um caso de uso que faz sentido para os negócios e que seria interrompido.
A filtragem de caminho reverso funciona muito bem em roteadores de borda, onde há uma definição clara de "interno" e "externo" - você não permite que pessoas de fora usem endereços "internos" e vice-versa. Fica mais complicado assim que começo a usar vários roteadores de borda para redundância.
Para roteadores de backbone, a única maneira de a filtragem de caminho reverso poder ser implementada é permitir pacotes de entrada quando o par anunciar uma rota de trabalho (independentemente de nossa preferência). Essa seria uma pesquisa proibitivamente longa, facilmente contornada e interrompe o caso de uso em que eu compro deliberadamente trânsito, mas não anuncio meu prefixo nesse link.
fonte