В большинстве маршрутизаторов реализована входная фильтрация, описанная в RFC2827? Как выглядит такая реализация?

John Smith

26.09.2023, 19:55

RFC 2827 описывает идею входной фильтрации, которая предназначена для иметь дело с DOS-атаками, использующими спуфинг IP:

Фильтр входящего трафика на входном (входном) канале «маршрутизатора 2», обеспечивающий подключение к сети злоумышленника, ограничивает трафик, чтобы разрешить только трафик, исходящий от исходных адресов в пределах префикс 204.69.207.0/24 и запрещает злоумышленнику использовать "недействительные" исходные адреса, находящиеся за пределами этого диапазона префиксов.

Реализована ли такая фильтрация в каждом роутере, что прошивка типа openWRT поддерживает? Кто-нибудь будет так любезен и предоставит мне соответствующую фрагмент кода, обеспечивающий такую фильтрацию. Был ли когда-либо задокументирован случай атаки, в которой использовалась подмена IP-адреса вместе с настройкой прошивки маршрутизатора злоумышленника, которая позволила отказаться от указанной фильтрации.

0 + 0

прошивка

openwrt

фильтрация трафика

Ron Maupin

27.09.2023, 13:54

Этот RFC является «лучшей текущей практикой», а не RFC «отслеживанием стандартов». Это не требование в _[RFC 1812, Требования к IP-маршрутизаторам версии 4](https://www.rfc-editor.org/rfc/rfc1812.html)_.

Ответить

Рейтинг:2

Server

vidarlo

26.09.2023, 21:02

Реализована ли такая фильтрация в каждом маршрутизаторе, который поддерживает прошивка, такая как openWRT?

Не каждый роутер поддерживает ACL-списокс. Многие так делают, и для фильтрации по исходному адресу достаточно простого ACL. Вам не нужно поддерживать фильтрацию с отслеживанием состояния, поэтому реализовать ее несложно. Но в IP нет неотъемлемого требования, чтобы маршрутизаторы поддерживали фильтрацию.

Поскольку отбрасывание трафика обычно является политикой по умолчанию для брандмауэра, этого можно добиться просто с помощью разрешения, соответствующего нужным исходным адресам. Трафик, не соответствующий этому правилу, будет отброшен политикой по умолчанию, если она отключена.

0 + 0

Admin

Этот вопрос на других языках:

EN: Is ingress filtering described in RFC2827 implemented in most routers? How does such implementation look like?

TH: มีการกรองข้อมูลขาเข้าที่อธิบายไว้ใน RFC2827 ในเราเตอร์ส่วนใหญ่หรือไม่ การดำเนินการดังกล่าวมีลักษณะอย่างไร

RO: Este filtrarea de intrare descrisă în RFC2827 implementată în majoritatea routerelor? Cum arată o astfel de implementare?

RU: В большинстве маршрутизаторов реализована входная фильтрация, описанная в RFC2827? Как выглядит такая реализация?

VI: Tính năng lọc xâm nhập được mô tả trong RFC2827 có được triển khai trong hầu hết các bộ định tuyến không? Làm thế nào để thực hiện như vậy trông như thế nào?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.