Os roteadores de hoje evitam cabeçalhos IP falsos?

11

Sei que as pessoas podem modificar os cabeçalhos IP e alterar o endereço IP de origem, mas deve ser simples para os dispositivos de rede detectar essas mensagens. Se não, por que é tão difícil? Isso adiciona muita sobrecarga?

nachos
fonte
nota: a frase correta é "anti-spoofing". falso me diz "Rolexes a falsificação" (que, btw é um hack rede / ataque completamente diferente)
Ricky feixe

Respostas:

17

Sei que as pessoas podem modificar os cabeçalhos IP e alterar o endereço IP de origem, mas deve ser simples para os dispositivos de rede detectar essas mensagens.

Os endereços de origem IP falsos nos cabeçalhos podem ser detectados e bloqueados em equipamentos de rede comerciais; outros cabeçalhos IPv4 falsos podem ser um pouco mais difíceis de identificar. A maioria das pessoas se refere à função para detectar endereços IP de origem falsos como "Encaminhamento de caminho reverso Unicast", que é abreviado por uRPF ; O uRPF é definido na RFC 3704 e é considerado uma melhor prática atual da Internet . O uRPF deve ser aplicado no primeiro roteador a partir do equipamento nas instalações do cliente ou no roteador de borda em uma rede corporativa.

Se não, por que é tão difícil? Isso adiciona muita sobrecarga?

Desde que o roteador não seja um roteador baseado em CPU, não há uma penalidade de desempenho. Muitos dos roteadores / switches usados ​​pelos ISPs possuem esse recurso embutido em um ASIC em hardware; normalmente não há uma penalidade de desempenho enorme para ativá-lo. Às vezes, existem conflitos de recursos, mas novamente isso não é grande coisa na maioria dos casos.

As políticas e a competência do pessoal de engenharia / operação do ISP variam e muitos ISPs (particularmente em países menores) estão tão ocupados em fazer as coisas "funcionarem" que não têm ciclos para fazê-las "funcionar bem".

Mike Pennington
fonte
1
E se o isp a e o isp b estiverem conectados um ao outro. Se o isp a não usa o uRPF, o isp b pode fazer alguma coisa?
Nachos
Ao "fazer qualquer coisa", presumo que você esteja assumindo que o ISP B não possui o primeiro roteador do CPE. Sim, o ISP B também pode usar o uRPF, mas eles precisam implantá-lo em algo chamado modo frouxo devido à natureza assimétrica do roteamento bgp. Isso significa que não é tão eficaz no bloqueio de cabeçalhos falsos ... basicamente, apenas garante que exista uma rota para o endereço IP de origem na tabela de roteamento ... portanto, se alguém enviar tráfego totalmente irrecuperável, poderá ser bloqueado.
9118 Mike Pennington
Não é estritamente verdade que apenas a CPU sofre penalização de desempenho. Por exemplo, em 7600/6500 / PFC3 sem uRPF, é possível observar a linerate em pacotes de tamanho mínimo no WS-X67040-10GE, ativar o uRFP e o menor quadro quase dobrar para 101B, que você pode enviar em linerate. Os dispositivos mais novos baseados em NPU (ASR9k, MX, SR etc.) também têm um custo diferente de zero em uRPF, o mecanismo de processamento de pacotes leva mais tempo quando está ativado do que quando está desabilitado, o superdimensionamento pode ajudar a abstrair o custo.
ytti 16/07/2013
4
@ytti, o tráfego da Internet fica em média bem acima de 101 bytes. Este não é um problema sério para o imix.
Mike Pennington
1
@ytti, fui muito claro ao qualificar minha resposta ... eu disse "normalmente não há uma penalidade de desempenho enorme por ativá-la". Não devemos esquecer que o 6500 Sup7203BXL é uma máquina de 400Mpps quando totalmente preenchida com DFCs; coloque um DFC por WS-X6704 no chassi e não há com o que se preocupar ... se você é louco o suficiente para depender apenas do encaminhamento do PFC3 para todo o chassi, bem, você pediu o problema que teve.
Mike Pennington
10

Impedir a alteração do endereço IP de origem requer listas de acesso (ACL) ou filtragem de caminho reverso unicast (uRPF).

Nem venha de graça. O uRPF normalmente requer pesquisa adicional ou pesquisa única mais complexa, podendo até reduzir pela metade o desempenho da pesquisa em algumas plataformas. A ACL desacelerará a pesquisa e usará memória.

O uRPF não requer manutenção, basta configurá-lo uma vez e esquecê-lo. A ACL precisa de um sistema que saiba quais endereços estão por trás da interface e verifique se a ACL permanece atualizada.

ACL mais amplamente suportado que o uRPF, o uRPF é um recurso comparativamente raro nos dispositivos de nível de switch L3. Em roteadores 'reais', geralmente ambos os recursos estão disponíveis.

Mesmo que ambos os recursos estejam disponíveis, a configuração do uRPF no local errado da rede pode interromper a rede, não entender as limitações específicas da plataforma ACL pode causar interrupções.

Normalmente, você mesmo não se beneficia em impedir a falsificação de endereços de origem, principalmente a Internet em geral que se beneficia. Você corre riscos diferentes de zero tentando fazê-lo, pois pode acabar quebrando coisas. E seus clientes não obterão nenhum benefício, ninguém pagará mais para implementá-los. Portanto, a recompensa é baixa.

O provedor de serviços responsável faz isso, porque é a coisa certa a fazer, mas não é realista esperar que recebamos antispoofing em uma parte relevante de dispositivos de acesso implantados. Um objetivo muito mais realista é, se fizermos ACL em conexões de trânsito IP, pois existem apenas cerca de 6000 ou mais números AS tão grossos lá.

O motivo pelo qual esse problema ocorre é por causa dos ataques de reflexão UDP, que podem ser corrigidos por protocolos como o QUIC e o MinimaLT, que garantem que a reflexão não tenha ganhos, já que a consulta recebida garante maior do que a resposta de saída, portanto, a falsificação perde seu benefício.

Recentemente, tornou-se bastante popular o uso da reflexão UDP como ataque DDoS. Existem muitos servidores DNS abertos nos dispositivos de CPE dos consumidores, os quais os consumidores não sabem, portanto, esses consumidores sofrem porque a conexão doméstica é congestionada, pois é usada para refletir ataques. E também é uma maneira fácil de obter amplificação significativa. Uma pequena consulta de dezenas de bytes pode render uma resposta grande de mais de mil bytes. Houve ataques DDoS de reflexão, que são várias centenas de gigabits por segundo, e menores são diários, apenas domingo à noite, transportamos o ataque de 43 Gbps para um de nossos clientes.

ytti
fonte
5

A filtragem de endereços de origem não é trivial no mundo real, porque o roteamento da Internet é assimétrico, portanto, em princípio, precisamos adivinhar se é provável que um pacote dessa fonte apareça nessa interface de entrada.

Não existe uma fórmula fácil para isso, porque para todas as regras que funcionam em quase todos os casos, há também um caso de uso que faz sentido para os negócios e que seria interrompido.

A filtragem de caminho reverso funciona muito bem em roteadores de borda, onde há uma definição clara de "interno" e "externo" - você não permite que pessoas de fora usem endereços "internos" e vice-versa. Fica mais complicado assim que começo a usar vários roteadores de borda para redundância.

Para roteadores de backbone, a única maneira de a filtragem de caminho reverso poder ser implementada é permitir pacotes de entrada quando o par anunciar uma rota de trabalho (independentemente de nossa preferência). Essa seria uma pesquisa proibitivamente longa, facilmente contornada e interrompe o caso de uso em que eu compro deliberadamente trânsito, mas não anuncio meu prefixo nesse link.

Simon Richter
fonte
1
A filtragem de endereço de origem não é trivial no mundo real ; isso deve ser alterado para uRPF / strict. Como a filtragem de endereço de origem via uso de ACL é independente da simetria de roteamento. Ou seja, não é possível para eu / uRPF / restringir meus clientes de trânsito IP multiconectados, mas é fácil para mim ligá-los.
ytti