web-dev-qa-db-fra.com

Pourquoi les ISP ne filtrent-ils pas l'adresse source pour empêcher l'entrepoiffage?

Je suis sous l'impression que si tous les FAI devaient filtrer sur l'adresse IP source de tous les paquets sortants, cet usurpation serait considérablement réduit.

  • Des ISP sont-ils en train de mettre en œuvre cette pratique?
  • Devraient-ils?
17
goodguys_activate

L'un des principaux problèmes concerne la commutation rapide au niveau de routage de base. Il y a longtemps quand j'étais ingénieur Cisco, les routeurs Cisco Core pourraient rapidement passer de manière très efficace et offrir une latence minimale, mais si vous vouliez sourire à filtrer, cela désactiverait la commutation rapide et ajouterait énormément à la latence - aucun fournisseur n'est pas possible. Être disposé à avoir plusieurs secondes de latence quand ils aiment petits nombres dans la région millisecondes.

L'une des autres questions peut être autour de l'encapsulation. Par exemple, si vous utilisez un réseau routé MPLS, vous n'avez pas pu voir l'intérieur du paquet pour effectuer un filtrage de source.

10
David Stubley

Certains Isp commencent à arriver à la conclusion que la prévention de l'entrepooftage les sauvera de l'argent à long terme. Nous les trouvons maintenant à commencer à forter antidérapeulage en termes de choses qui leur coûteront de l'argent à court terme, mais éclairciront leur charge de réseau et pouvoir être vendus à mesure que la valeur ajoute à long terme.

L'infrastructure et l'équipe requise pour configurer ceci est l'endroit où se trouve le coût principal. Il faudrait une analyse quant aux adresses pourraient être nécessaires pour un usurpateur valide (bien que cela puisse être beaucoup moins en réalité) et l'effort nécessaire pour configurer et maintenir chaque routeur (ou au moins celles au bord) est jolie. haute.

Cela devient potentiellement plus un défi (juste en termes d'échelle) avec IPv6, comme IPv4 sera également longue pendant une longue période.

Cela fait probablement plus de Sens pour ignorer l'anti-spoofing IPv4 et commencer à le construire dans leur déploiement de bord V6.

5
Rory Alsop

Je me rends compte que c'est une très vieille question, mais je pense qu'il y a des informations supplémentaires pertinentes à partager. Vous êtes correct que l'entrepoiffage IP est une grande source de problèmes sur Internet, principalement en raison des attaques DDO utilisant UDP.

Les ISP doivent mettre en œuvre anti-spoofing. IETF BCP38 (écrit en 2000!) Décrit une meilleure pratique pour les réseaux de filtrage du réseau Filtrage de filtrage pour réduire l'usurpation d'usurpation et éviter ainsi les ddoques, mais malheureusement (?) Il n'y a pas d'autorité mondiale qui peut les forcer à Le faire.

Comme les autres ont souligné, les coûts de la mise en œuvre peuvent être une raison de ne pas le faire. Les revenus inférieurs pourraient être un argument également pour certains réseaux: non pas de transfert de trafic signifie envoyer des factures plus faibles aux clients. Il peut donc être une décision commerciale de ne pas filtrer.

Toutefois, dans le nombre de quelques années, un nombre croissant de fournisseurs de fournisseurs de services Internet a permis de mettre en œuvre des contrôles décrits dans MANRS ("normes mutuellement convenues de sécurité de routage"). L'un des témoins mentionnés il y a anti-spoofing . Manrs propose des réseaux un guide complet sur la mise en œuvre d'anti-spoofing de différentes manières de toutes sortes de configurations avec toutes sortes d'équipements.

Bien que les spoofing offrent toujours des problèmes, de plus en plus de réseaux mettent en œuvre des contrôles, car ils se rendent compte qu'ils doivent être sûrs qu'ils ne font pas partie du problème. Cependant, je suis sûr qu'il y aura toujours un nombre juste de réseaux qui ne suivront pas les Manrs pour diverses raisons, et également qu'il existe un petit nombre de réseaux qui ne filtrent vivement pas comme modèle d'entreprise (et attirant ainsi plus et plus d'abus). Le seul moyen de résoudre ce problème sera pour tous les grands réseaux (niveaux 1) pour mettre en œuvre un filtrage strict, de sorte qu'il devient plus difficile pour ces réseaux malveillants d'obtenir leur trafic spoofé acheminé sur Internet.

4
Teun Vink

Réponse de base: coût. Cela ne fait rien pour protéger leur propre réseau, mais ajoute des coûts supplémentaires sous forme de frais de maintenance et de routage des frais généraux. Parce que les adresses spoofées sortantes ne les affecteront pas vraiment, il y a

3
Ryaner

IP Traceback est un nom donné à n'importe quel procédé de détermination de manière fiable l'origine d'un paquet sur Internet. Étant donné que l'adresse IP source d'un paquet n'est pas authentifiée. Le problème de la recherche de la source d'un paquet s'appelle le problème de la traçabilité IP. IP Traceback est une capacité critique d'identification des sources d'attaques et d'instituer des mesures de protection pour Internet. Il y a nombre de techniques proposées les plus populaires sont

  1. Marquage de paquets probabilistes: marquage probabiliste des paquets lorsqu'ils traversent des routeurs via Internet. Le routeur marque le paquet avec l'adresse IP du routeur ou les bords du chemin que le paquet a traversé pour atteindre le routeur.
  2. Marquage de paquet déterministe: Cette technique tente de mettre une marque unique sur des paquets entrants au point d'entrée de réseau. Leur idée est de placer, avec une probabilité aléatoire de 0,5, la moitié supérieure ou inférieure de l'adresse IP de l'interface d'entrée dans le champ ID de fragment du paquet, puis définir un bit de réserve indiquant quelle partie de l'adresse est contenue dans le champ de fragment. En utilisant cette approche, ils prétendent pouvoir obtenir 0 fausses positives avec .99 Probabilité après seulement 7 paquets.
1
Ali Ahmad