it-swarm-korea.com

ISP가 스푸핑을 방지하기 위해 소스 주소를 필터링하지 않는 이유는 무엇입니까?

모든 ISP가 모든 아웃 바운드 패킷의 소스 IP 주소를 필터링해야한다면 스푸핑이 상당히 줄어든다는 인상을 받고 있습니다.

  • ISP가이 방법을 구현하고 있습니까?
  • 그들은해야합니까?
17
goodguys_activate

주요 문제 중 하나는 핵심 라우팅 수준에서 빠른 전환과 관련이 있습니다. 오래 전 Cisco 엔지니어 였을 때 Cisco 코어 라우터는 매우 효율적으로 빠르게 전환하고 대기 시간을 최소화 할 수 있었지만 필터를 소싱하려면 빠른 전환을 끄고 대기 시간에 크게 추가합니다. 밀리 초 단위의 작은 숫자를 좋아할 때 대기 시간이 수초에 걸리게됩니다.

다른 문제 중 하나는 캡슐화와 관련이있을 수 있습니다. 예를 들어 MPLS 라우팅 된 네트워크를 사용하는 경우 소스 필터링을 수행하기 위해 패킷 내부를 볼 수 없었습니다.

10
David Stubley

일부 ISP는 스푸핑을 방지하면 장기적으로 돈을 절약 할 수 있다는 결론에 도달하기 시작했습니다. 단기적으로는 비용이 많이 들지만 네트워크로드가 가벼워지고 장기적으로 부가가치로 판매 될 수 있다는 점에서 안티 DDoS와 함께 안티 스푸핑을 일괄하기 시작합니다.

이를 구성하는 데 필요한 인프라와 팀이 주요 비용입니다. 유효한 스푸핑에 어떤 주소가 필요할지에 대한 분석이 필요하지만 (실제로 문제가되지는 않지만) 모든 라우터 (또는 적어도 Edge에있는 주소)를 구성하고 유지하는 데 필요한 노력은 매우 아름답습니다. 높은.

IPv4도 오랜 시간 동안 사용되기 때문에 IPv6의 경우 (규모 측면에서) 더 큰 도전이 될 수 있습니다.

IPv4 안티 스푸핑을 무시하고 v6 Edge 롤아웃에 구축하기 시작했을 것입니다.

5
Rory Alsop

나는 이것이 매우 오래된 질문이라는 것을 알고 있지만 공유 할 관련 추가 정보가 있다고 생각합니다. 인터넷에서 IP 스푸핑이 큰 문제의 원인이라고 생각하는 것이 맞습니다. 대부분 UDP를 사용한 DDoS 공격 때문입니다.

ISP는 스푸핑 방지를 구현해야합니다. IETF의 BCP38 (2000 년에 작성되었습니다!)는 네트워크가 필터링을 통해 스푸핑을 줄이고 DDoS 공격을 방지하는 최선의 방법을 설명하지만 불행히도 (?) 그렇게하세요.

다른 사람들이 지적했듯이, 그것을 구현하는 비용은 그렇게하지 않는 이유 일 수 있습니다. 트래픽을 전달하지 않으면 고객에게 더 낮은 청구서를 보내는 것을 의미하므로 필터링하지 않는 것이 비즈니스 결정일 수 있습니다.

그러나 몇 년 동안 점점 더 많은 ISP가 MANRS ( "라우팅 보안에 대한 상호 합의 규범")에 설명 된 제어를 구현하기로 약속했습니다. 언급 된 컨트롤 중 하나는 anti-spoofing 입니다. MANRS는 모든 종류의 장비로 모든 종류의 설정에서 다양한 방법으로 스푸핑 방지를 구현하는 데 대한 광범위한 가이드를 네트워크에 제공합니다.

스푸핑은 여전히 ​​문제를 제공하지만 점점 더 많은 네트워크가 제어를 구현하여 문제의 일부가 아닌지 확인해야한다는 사실을 인식하고 있습니다. 그러나 다양한 이유로 인해 MANRS를 따르지 않는 공정한 네트워크가 항상있을 것이며 비즈니스 모델로 기꺼이 필터링하지 않는 소수의 네트워크가있을 것입니다. 남용). 이를 해결하는 유일한 방법은 모든 대형 (1 단계) 네트워크가 엄격한 필터링을 구현하는 것이므로 이러한 악의적 인 네트워크가 스푸핑 된 트래픽을 인터넷을 통해 라우팅하기가 더 어려워집니다.

4
Teun Vink

기본 답변 : 비용. 그렇게하면 자체 네트워크를 보호 할 수 없지만 유지 관리 오버 헤드 및 라우팅 오버 헤드의 형태로 추가 비용이 발생합니다. 스푸핑 된 주소가 발신에 실제로 영향을 미치지 않기 때문에

3
Ryaner

IP traceback 은 인터넷에서 패킷의 출처를 확실하게 결정하는 방법에 지정된 이름입니다. 패킷의 소스 IP 주소가 인증되지 않았기 때문에. 패킷 소스를 찾는 문제를 IP 추적 문제라고합니다. IP Traceback은 공격의 출처를 식별하고 인터넷에 대한 보호 수단을 마련하는 데 중요한 기능입니다. 가장 많이 제안 된 기술이 많이 있습니다.

  1. 확률 적 패킷 표시 : 인터넷을 통해 라우터를 통과 할 때 패킷을 확률 적으로 표시합니다. 라우터는 라우터의 IP 주소 또는 패킷이 라우터에 도달하기 위해 통과 한 경로의 가장자리로 패킷을 표시합니다.
  2. 결정 성있는 패킷 표시 :이 기술은 네트워크 진입 지점에서 인바운드 패킷에 단일 표시를 시도합니다. 그들의 아이디어는 0.5의 확률로 수신 인터페이스 IP 주소의 상하 절반을 패킷의 프래그먼트 ID 필드에 넣은 다음 주소의 어느 부분이 포함되는지를 나타내는 예비 비트를 설정하는 것입니다. 프래그먼트 필드 이 접근법을 사용함으로써 그들은 단지 7 개의 패킷 후에 .99 확률로 0 오 탐지를 얻을 수 있다고 주장합니다.
1
Ali Ahmad