Входная фильтрация

В компьютерных сетях входная фильтрация — это метод, используемый для обеспечения того, чтобы входящие пакеты действительно исходили из сетей, из которых они якобы исходят. Это можно использовать в качестве меры противодействия различным атакам спуфинга , когда пакеты злоумышленника содержат поддельные IP-адреса . Спуфинг часто используется при атаках типа «отказ в обслуживании» , и смягчение их последствий является основным применением входной фильтрации. ^{[ 1 ]}

Проблема

Сети получают пакеты из других сетей. Обычно пакет содержит IP-адрес компьютера, который его первоначально отправил. Это позволяет устройствам в принимающей сети знать, откуда он пришел, позволяя направить ответ обратно (среди прочего), за исключением случаев, когда IP-адреса используются через прокси-сервер или поддельный IP-адрес, который не определяет конкретного пользователя внутри этот пул пользователей.

IP-адрес отправителя может быть подделан ( подделан ), что характеризует спуфинг-атаку . Это скрывает происхождение отправленных пакетов, например, при атаке типа «отказ в обслуживании» . То же самое справедливо и для прокси, хотя и иначе, чем при подмене IP.

Возможные решения

Одно из возможных решений предполагает использование промежуточных Интернет-шлюзов (т. е. серверов, соединяющих разрозненные сети на пути следования любого данного пакета), которые фильтруют или блокируют любой пакет, который считается незаконным. Шлюз, обрабатывающий пакет, может просто полностью игнорировать пакет или, где это возможно, отправить пакет обратно отправителю, ретранслируя сообщение о том, что незаконный пакет отклонен. Системы предотвращения вторжений на хост (HIPS) являются одним из примеров технических инженерных приложений, которые помогают идентифицировать, предотвращать и/или сдерживать нежелательные, неожиданные или подозрительные события и вторжения.

Любой маршрутизатор, реализующий входную фильтрацию, проверяет поле IP-адреса источника получаемых IP-пакетов и отбрасывает пакеты, если пакеты не имеют IP-адреса в блоке IP-адресов, к которому подключен интерфейс. Это может быть невозможно, если конечный хост является многодомным и также отправляет транзитный сетевой трафик.

При входной фильтрации пакеты, поступающие в сеть, фильтруются, если отправляющая их сеть не должна отправлять пакеты с исходного IP-адреса(ов). Если конечный хост является тупиковой сетью или хостом, маршрутизатору необходимо фильтровать все IP-пакеты, которые в качестве IP-адреса источника имеют частные адреса (RFC 1918), богонные адреса или адреса, которые не имеют того же сетевого адреса, что и интерфейс. ^{[ 2 ]}

Сети

Сетевая входная фильтрация — это метод фильтрации пакетов, используемый многими интернет-провайдерами , чтобы попытаться предотвратить подделку IP-адреса интернет-трафика и, таким образом, косвенно бороться с различными типами сетевых злоупотреблений , отслеживая интернет-трафик до его источника.

Фильтрация сетевого вторжения значительно упрощает отслеживание атак типа «отказ в обслуживании» до их источника(ов) и их устранение. ^{[ 3 ]}

Сетевая фильтрация входящего трафика — это политика добрососедства , основанная на сотрудничестве между интернет-провайдерами для их взаимной выгоды.

Лучшие текущие методы фильтрации входящего сетевого трафика задокументированы Инженерной группой Интернета в BCP 38 и 84, которые определены в RFC 2827 и RFC 3704 соответственно. ^{[ 4 ]}^{[ 5 ]}

BCP 84 рекомендует вышестоящим поставщикам IP-подключений фильтровать пакеты, поступающие в их сети от нижестоящих клиентов, и отбрасывать любые пакеты, у которых есть адрес источника, который не назначен этому клиенту.

Существует много возможных способов реализации этой политики; Одним из распространенных механизмов является включение пересылки по обратному пути провайдера на ссылках на клиентов, которые будут косвенно применять эту политику на основе фильтрации маршрутов о маршрутах своих клиентов объявлений .

Развертывание

По состоянию на 2012 год в одном отчете говорится, что, вопреки общему мнению об отсутствии развертывания BCP 38, около 80% Интернета (по различным показателям) уже применяли в своих сетях защиту от спуфинга. ^{[ 6 ]}

По крайней мере, один эксперт по компьютерной безопасности выступает за принятие закона, требующего от 100% всех интернет-провайдеров внедрения фильтрации входящего сетевого трафика, как это определено в IETF BCP 38. В США, предположительно, FCC будет обеспечивать соблюдение этого закона. ^{[ 3 ]}

См. также

Ссылки

^ Жауниарович Юрий; Додия, Приянка (июнь 2019 г.). «Сортировка мусора: фильтрация трафика усиления DRDoS в сетях интернет-провайдеров» . Конференция IEEE 2019 по сетевому программному обеспечению (NetSoft) . IEEE. стр. 142–150. дои : 10.1109/netsoft.2019.8806653 . ISBN 978-1-5386-9376-6 . S2CID 201621791 .
^ Роберт Гезельтер (1995) Безопасность в Интернете, глава 23 в Хатте, Босворте и Хойтте (1995) «Справочник по компьютерной безопасности, третье издание», Wiley, раздел 23.6 (b), стр. 23-12 и далее.
^ Jump up to: ^а ^б Доктор Дэвид А. Уилер. «Какие законы следует создать для улучшения компьютерной безопасности?» . Проверено 10 июня 2023 г.
^ Фергюсон, П.; Сение, Д. (май 2000 г.). Фильтрация сетевого входа: борьба с атаками типа «отказ в обслуживании», в которых используется подмена IP-адреса источника . IETF . дои : 10.17487/RFC2827 . BCP 38. RFC 2827 .
^ Бейкер, Ф.; Савола, П. (март 2004 г.). Входная фильтрация для многосетевых сетей . IETF . дои : 10.17487/RFC3704 . BCP 84. RFC 3704 .
^ Барри Грин (11 июня 2012 г.). «Все должны использовать BCP 38! Подождите, они…» . senki.org.

Внешние ссылки

RFC 2827 - Фильтрация сетевого входа: борьба с атаками типа «отказ в обслуживании», которые используют подмену исходного IP-адреса (BCP 38)
RFC 3704 Фильтрация входящего трафика для многосетевых сетей (BCP 84)
Джей Р. Эшворт. «BCP38.info» .
Информация о BCP 38 » Редактор RFC
Информация о BCP 84 » Редактор RFC
Маршрутизация MANRS

[1] Жауниарович Юрий; Додия, Приянка (июнь 2019 г.). «Сортировка мусора: фильтрация трафика усиления DRDoS в сетях интернет-провайдеров» . Конференция IEEE 2019 по сетевому программному обеспечению (NetSoft) . IEEE. стр. 142–150. дои : 10.1109/netsoft.2019.8806653 . ISBN 978-1-5386-9376-6 . S2CID 201621791 .

[2] Роберт Гезельтер (1995) Безопасность в Интернете, глава 23 в Хатте, Босворте и Хойтте (1995) «Справочник по компьютерной безопасности, третье издание», Wiley, раздел 23.6 (b), стр. 23-12 и далее.

[wheeler-3] Jump up to: ^а ^б Доктор Дэвид А. Уилер. «Какие законы следует создать для улучшения компьютерной безопасности?» . Проверено 10 июня 2023 г.

[4] Фергюсон, П.; Сение, Д. (май 2000 г.). Фильтрация сетевого входа: борьба с атаками типа «отказ в обслуживании», в которых используется подмена IP-адреса источника . IETF . дои : 10.17487/RFC2827 . BCP 38. RFC 2827 .

[5] Бейкер, Ф.; Савола, П. (март 2004 г.). Входная фильтрация для многосетевых сетей . IETF . дои : 10.17487/RFC3704 . BCP 84. RFC 3704 .

[6] Барри Грин (11 июня 2012 г.). «Все должны использовать BCP 38! Подождите, они…» . senki.org.

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]