Giriş filtreleme - Ingress filtering - Wikipedia

İçinde bilgisayar ağı, giriş filtreleme gelen, paketler aslında kaynaklandıklarını iddia ettikleri ağlardandır. Bu bir karşı önlem çeşitli karşı sahtekarlık saldırıları saldırganın paketlerinin sahte olduğu yer IP adresleri saldırının kaynağını bulmayı zorlaştırmak için. Bu teknik genellikle hizmeti engelleme saldırısı ve bu, giriş filtrelemenin birincil hedefidir.[1]

Sorun

Ağlar, diğer ağlardan paket alır. Normalde bir paket, IP adresi orijinal olarak gönderen bilgisayarın Bu, alıcı ağdaki cihazların nereden geldiğini bilmesine izin vererek, IP adreslerinin bir proxy veya sahte bir IP adresi aracılığıyla kullanılması dışında, bir yanıtın geri yönlendirilmesine izin verir (diğer şeylerin yanı sıra). o kullanıcı havuzu.

Gönderenin IP adresi sahte olabilir ("sahte "), bir sahtekarlık saldırısı. Bu, gönderilen paketlerin kaynağını gizler, örneğin bir hizmeti engelleme saldırısı. Aynı şey proxy'ler için de geçerlidir, ancak "IP sahtekarlığı" ndan farklı bir şekilde.

Potansiyel çözümler

Olası bir çözüm, yasadışı olduğu düşünülen herhangi bir paketi filtreleyen veya reddeden ara İnternet ağ geçitlerinin (yani, yol boyunca farklı ağları bağlayan sunucular) kullanılmasını içerir. Paketi işleyen ağ geçidi, paketi tamamen görmezden gelebilir veya mümkün olduğunda, göndericiye, yasadışı paketin reddedildiğine dair bir mesaj ileten bir paketi geri gönderebilir. Ana bilgisayar saldırı önleme sistemleri (HIPS) istenmeyen, beklenmeyen ve / veya şüpheli olayları ve izinsiz girişleri belirlemeye, önlemeye ve / veya caydırmaya yardımcı olan teknik mühendislik uygulamalarına bir örnektir.

Giriş filtrelemesini uygulayan herhangi bir yönlendirici, aldığı IP paketlerinin kaynak IP alanını kontrol eder ve arayüzün bağlı olduğu IP adres bloğunda bir IP adresi yoksa paketleri bırakır. Son barındırıcı ise bu mümkün olmayabilir. çok bağlantılı ve ayrıca geçiş ağı trafiği gönderir.

Giriş filtrelemede, ağa gelen paketler, kendisini gönderen ağın kaynak IP adres (ler) inden paket göndermemesi gerekiyorsa filtrelenir. Son ana bilgisayar bir saplama ağı veya ana bilgisayar ise, yönlendiricinin kaynak IP olarak sahip olan tüm IP paketlerini filtrelemesi gerekir. özel adresler (RFC 1918 ), bogon adresleri veya arabirimle aynı ağ adresine sahip olmayan adresler.[2]

Ağlar

Ağ girişi filtreleme bir paket filtreleme birçok kişi tarafından kullanılan teknik internet servis sağlayıcıları önlemeye çalışmak kaynak adresi sahtekarlığı ve dolaylı olarak çeşitli türlerde net suistimal İnternet trafiğini kaynağına kadar izlenebilir hale getirerek.

Ağ girişi filtreleme, karşılıklı yararları için ISP'ler arasındaki işbirliğine dayanan "iyi bir komşu" politikasıdır.

en iyi güncel uygulamalar ağ girişi filtreleme için İnternet Mühendisliği Görev Gücü içinde BCP 38 ve BCP 84tarafından tanımlanan RFC 2827 ve RFC 3704, sırasıyla.[3][4]

BCP 84 şunları önerir: yukarı akış sağlayıcıları alt müşterilerden ağlarına giren IP bağlantı filtre paketleri ve bu müşteriye tahsis edilmemiş bir kaynak adresi olan tüm paketleri atma.

Bu politikayı uygulamanın birçok olası yolu vardır; ortak bir mekanizma etkinleştirmektir ters yol yönlendirme bu politikayı, sağlayıcının rota filtreleme müşterilerinin rota duyuruları.

Dağıtım

2012 itibariyle, bir rapor, BCP 38 dağıtımının olmaması hakkındaki genel görüşün aksine, İnternet'in yaklaşık% 80'inin (çeşitli önlemlere göre) ağlarında sahtekarlığa karşı paket filtrelemesi uyguladığını öne sürüyor.[5]

Ayrıca bakınız

Referanslar

  1. ^ Zhauniarovich, Yury; Dodia, Priyanka (Haziran 2019). "Çöpü Sıralama: ISP Ağlarında DRDoS Yükseltme Trafiğini Filtreleme". 2019 IEEE Ağ Yazılımları Konferansı (NetSoft). IEEE. doi:10.1109 / netsoft.2019.8806653. ISBN  978-1-5386-9376-6.
  2. ^ Robert Gezelter (1995) İnternette Güvenlik Bölüm 23, Hutt, Bosworth ve Hoytt (1995) "Bilgisayar Güvenliği El Kitabı, Üçüncü Baskı", Wiley, bölüm 23.6 (b), sayfa 23-12, vd.
  3. ^ Ferguson, P.; Senie, D. (Mayıs 2000). Ağ Girişi Filtreleme: IP Kaynak Adres Sahtekarlığı kullanan Hizmet Reddi Saldırılarını Yenmek. IETF. doi:10.17487 / RFC2827. BCP 38. RFC 2827. Alındı 18 Şubat 2014.
  4. ^ Baker, F.; Savola, P. (Mart 2004). Birden Çok Ana Bilgisayarlı Ağlar için Giriş Filtreleme. IETF. doi:10.17487 / RFC3704. BCP 84. RFC 3704. Alındı 18 Şubat 2014.
  5. ^ Barry Greene (11 Haziran 2012). "Herkes BCP 38'i dağıtmalı! Bekle, onlar ...". senki.org.

Dış bağlantılar

  • RFC 2827 - Ağ Girişi Filtreleme: IP Kaynak Adres Sahtekarlığı (BCP 38) kullanan Hizmet Reddi Saldırılarının Yenilmesi
  • RFC 3704 Birden Çok Ana Bilgisayarlı Ağlar için Giriş Filtreleme (BCP 84)
  • Jay R. Ashworth. "BCP38.info".
  • IETF'in BCP Endeksi