Saya tahu orang-orang dapat memodifikasi header IP dan mengubah alamat IP sumber, tetapi seharusnya sederhana bagi perangkat jaringan untuk mendeteksi pesan-pesan itu. Jika tidak, mengapa begitu sulit? Apakah ini menambah terlalu banyak overhead?
Saya tahu orang-orang dapat memodifikasi header IP dan mengubah alamat IP sumber, tetapi seharusnya sederhana bagi perangkat jaringan untuk mendeteksi pesan-pesan itu. Jika tidak, mengapa begitu sulit? Apakah ini menambah terlalu banyak overhead?
Jawaban:
Saya tahu orang-orang dapat memodifikasi header IP dan mengubah alamat IP sumber, tetapi seharusnya sederhana bagi perangkat jaringan untuk mendeteksi pesan-pesan itu.
Alamat sumber IP palsu dalam tajuk dapat dideteksi dan diblokir dalam gir jaringan komersial; header IPv4 palsu lainnya bisa sedikit lebih sulit untuk diidentifikasi. Kebanyakan orang menyebut fungsi untuk mendeteksi alamat IP sumber palsu sebagai "Unicast Reverse Path Forwarding", yang disingkat uRPF ; uRPF didefinisikan dalam RFC 3704 dan dianggap sebagai praktik terbaik saat ini di internet . uRPF harus diterapkan pada router pertama dari peralatan premis pelanggan, atau pada router tepi dalam jaringan perusahaan.
Jika tidak, mengapa begitu sulit? Apakah ini menambah terlalu banyak overhead?
Selama router bukan router berbasis CPU, tidak ada penalti kinerja. Banyak router / switch yang digunakan oleh ISP memiliki fitur ini dibangun menjadi ASIC dalam perangkat keras; biasanya tidak ada penalti performa yang besar untuk menyalakannya. Kadang-kadang ada konflik fitur, tetapi sekali lagi ini bukan masalah besar dalam kebanyakan kasus.
Kebijakan dan kompetensi personil teknik / operasional ISP berbeda-beda, dan banyak ISP (terutama di negara-negara kecil) sangat sibuk membuat hal-hal "berfungsi" sehingga mereka tidak memiliki siklus untuk membuat hal-hal "berfungsi dengan baik".
Mencegah perubahan alamat IP sumber memerlukan daftar akses (ACL) atau penyaringan jalur balik unicast (uRPF).
Tidak ada yang datang secara gratis. uRPF biasanya membutuhkan pencarian tambahan atau pencarian tunggal yang lebih kompleks, sehingga bahkan bisa mengurangi kinerja pencarian Anda di beberapa platform. ACL akan memperlambat pencarian dan menggunakan memori.
uRPF bebas perawatan, Anda cukup mengonfigurasinya sekali dan lupakan saja. ACL membutuhkan sistem yang mengetahui alamat mana yang berada di belakang antarmuka dan memastikan ACL tetap up-to-date.
ACL lebih banyak didukung daripada uRPF, uRPF adalah fitur yang relatif jarang di perangkat tingkat switch L3. Di router 'nyata' biasanya kedua fitur tersedia.
Bahkan jika kedua fitur tersedia, mengkonfigurasi uRPF di tempat yang salah dari jaringan dapat merusak jaringan, tidak memahami batasan spesifik platform ACL dapat menyebabkan pemadaman.
Biasanya Anda sendiri tidak mendapat manfaat dalam mencegah spoofing alamat sumber, itu sebagian besar Internet pada umumnya yang diuntungkan. Anda membawa risiko yang tidak nol untuk melakukannya, karena Anda dapat merusak barang. Dan pelanggan Anda tidak akan mendapatkan manfaat apa pun, tidak ada yang akan membayar Anda lebih banyak untuk menerapkannya. Jadi pahala rendah melakukannya.
Penyedia layanan yang bertanggung jawab melakukannya, karena itu adalah hal yang benar untuk dilakukan, tetapi tidak realistis untuk berharap bahwa kita akan mendapatkan antispoofing dalam porsi besar yang relevan dari perangkat akses yang digunakan. Tujuan yang jauh lebih realistis adalah, jika kita melakukan ACL dalam koneksi transit IP, karena hanya ada sekitar 6.000 nomor AS gemuk di sana.
Mengapa ini bahkan menjadi masalah adalah karena serangan refleksi UDP, yang dapat diperbaiki oleh protokol seperti QUIC dan MinimaLT yang memastikan bahwa refleksi tidak memperoleh keuntungan, karena kueri masuk dijamin lebih besar daripada jawaban keluar, sehingga spoofing kehilangan manfaatnya.
Lagi-lagi ini menjadi cukup populer untuk menggunakan refleksi UDP sebagai serangan DDoS. Ada banyak server DNS terbuka lebar di perangkat CPE konsumen yang konsumen tidak sadari, sehingga konsumen menderita karena koneksi rumah mereka padat karena digunakan untuk mencerminkan serangan. Dan itu juga cara mudah untuk mendapatkan kueri kecil puluhan byte yang signifikan, yang dapat menghasilkan jawaban besar lebih dari seribu byte. Telah ada refleksi serangan DDoS yang beberapa ratus gigabit per detik, dan lebih kecil setiap hari, hanya malam minggu kami mengangkut serangan 43Gbps ke salah satu pelanggan kami.
Penyaringan alamat sumber adalah non-trivial di dunia nyata, karena perutean internet asimetris, jadi pada prinsipnya kita perlu menebak apakah suatu paket dari sumber ini akan muncul pada antarmuka yang masuk ini.
Tidak ada formula yang mudah untuk itu, karena untuk setiap aturan yang bekerja untuk hampir semua kasus, ada juga kasus penggunaan yang masuk akal bisnis yang akan melanggar itu.
Penyaringan jalur balik berfungsi dengan baik pada router tepi, di mana ada definisi yang jelas tentang "di dalam" dan "di luar" - Anda tidak mengizinkan orang luar menggunakan alamat "di dalam" dan sebaliknya. Semakin rumit setelah saya mulai menggunakan beberapa router tepi untuk redundansi.
Untuk router backbone, satu-satunya cara penyaringan jalur balik dapat diimplementasikan adalah dengan memungkinkan paket masuk ketika rekan mengumumkan rute yang berfungsi (terlepas dari apakah itu akan menjadi pilihan kami). Itu akan menjadi pencarian yang sangat panjang, mudah dielakkan dan merusak use case di mana saya sengaja membeli transit tetapi tidak mengumumkan awalan saya di tautan itu.