AAA

RFC 2644 — Смена принятого по умолчанию поведения маршрутизаторов по отношению к пакетам Directed Broadcast

Статус документа

В этом документе описывается практический опыт (Best Current Practices), который может быть полезен сообществу Internet. Документ служит приглашением к дискуссии в целях дальнейшего совершенствования и может распространяться без ограничений.

1. Введение

В требованиях к маршрутизаторам [1] указано, что эти устройства должны принимать и пересылать широковещательный трафик Directed Broadcast (широковещательный пакет, направленный в сеть с заданным префиксом). В этом же документе указано, что маршрутизаторы должны иметь опцию, позволяющую запретить эту функцию, и по умолчанию функция поддержки directed broadcast должна быть включена. Однако поддержка пересылки таких пакетов обеспечивает возможность организации эффективных атак на другие сети.

Смена принятого по умолчанию поведения маршрутизаторов позволит при подключении новых маршрутизаторов к сети Internet не усугублять уже существующую проблему.

2. Обсуждение

Атаки типа Denial of Service привели к необходимости разработки системы фильтрации входящего трафика — Ingress Filtering [2]. Фильтрация на входе сейчас используется многими сетевыми операторами, а также в корпоративных сетях для предотвращения DOS-атак.

Недавние Smurf-атаки [3] были направлены против сетей, которые поддерживают directed broadcast из внешних сетей. Поддержка directed broadcast делала такие сети «усилителями» Smurf-атак.

Реализация ingress-фильтров является наилучшим решением проблемы, однако ограничение использования directed broadcast также сыграет позитивную роль.

Провайдеры и корпоративные пользователи хотят оградить свои сети от пакетов directed broadcast, приходящих из внешних сетей.

Mobile IP [4] предлагает использовать directed broadcast в мобильных узлах для динамического обнаружения сетей. Хотя такая функция применяется в некоторых реализациях, польза ее совершенно не очевидна. В работе [5] предложены другие способы решения таких задач. Имеет смысл рассмотреть вопрос об отмене использования directed broadcast в Mobile IP пока рассматривается вопрос о принятии этого стандарта.

3. Рекомендации

Внести в документ [1] следующие изменения:

4. Вопросы безопасности

Задача этого документа состоит в снижении эффективности некоторых типов атак на службы (DoS).

5. Литература

  1. F. Baker, «Requirements for IP Version 4 Routers», RFC 1812, June 1995.
  2. P. Ferguson, D. Senie, «Network Ingress Filtering», RFC 2827, May 2000
  3. ;
  4. C. Perkins, «IP Mobility Support», RFC 2002, October 1996.
  5. P. Calhoun, C. Perkins, «Mobile IP Dynamic Home Address Allocation Extensions», RFC 2794, March 2000

6. Благодарности

Автор благодарит Брэндона Росса (Brandon Ross) из Mindspring и Гэбриела Монтенегро (Gabriel Montenegro) из Sun за их вклад в работу.

Адрес автора

Daniel Senie
Amaranth Networks Inc.
324 Still River Road
Bolton, MA 01740
Phone: (978) 779-6813
EMail: moc.eines@std

Перевод на русский язык

Николай Малых, moc.milib@hkylamn