RFC: 1191
Оригинал: Path MTU Discovery
Предыдущие версии: RFC 1063
Категория: Проект стандарта
Дата публикации:
Авторы: ,
Перевод: Игорь Шеваров

RFC 1191, Страница 15 из 15

8. Соображения безопасности

Механизм PMTU делает возможным два вида атак на отказ в обслуживании, оба основанные на посылке ложных сообщений «датаграмма слишком большая» злонамеренной стороной.

В первой атаке, фальшивые сообщения «датаграмма слишком большая» показывают, что PMTU намного меньше реальной. Это не должно полностью остановить весь поток данных, поскольку атакуемый хост никогда не будет использовать PMTU меньше абсолютного минимума, но 8 октетов данных на одну датаграмму замедлят обмен.

Во второй атаке фальшивые сообщения указывают PMTU больший, чем в реальности. Это может вызвать временную блокаду, так как датаграммы посылаемые атакуемым хостом будут отброшены одним из маршрутизаторов. В течение одного периода, равного по длительности, времени необходимому для пересылки пакета туда-обратно, хост будет исправлять ошибку (получив сообщение «датаграмма слишком большая» от этого маршрутизатора). Частое повторение этой атаки приведет к увеличению датаграмм, которые будут отброшены. Хост, конечно, не должен повышать оценку PMTU, основываясь на сообщении «датаграмма слишком большая», чтобы не быть подверженным данной атаке.

Злонамеренная сторона могла бы создавать проблемы, если бы могла остановить обработку истинных сообщений «датаграмма слишком большая», но имеются более простые атаки на отказ в обслуживании.

Ссылки

[1]Robert Braden, «Требования к хостам Internet - Коммуникационные уровни», RFC 1122, Октябрь 1989.
[2]Geof Cooper. IP Datagram Sizes. Electronic distribution of the TCP-IP Discussion Group, Message-ID 8705240517.AA01407@apolling.imagen.uucp.
[3]ISO. ISO Transport Protocol Specification: ISO DP 8073. RFC 905, SRI Network Information Center, April, 1984.
[4]Van Jacobson. Congestion Avoidance and Control. In Proc. SIGCOMM '88 Symposium on Communications Architectures and Protocols, pages 314-329. Stanford, CA, August, 1988.
[5]C. Kent and J. Mogul. Fragmentation Considered Harmful. In Proc. SIGCOMM '87 Workshop on Frontiers in Computer Communications Technology. August, 1987.
[6]Drew Daniel Perkins. Private Communication.
[7]J. Postel, «Протокол ICMP», RFC 792, Сентябрь 1981.
[8]J. Postel, «Протокол IP (Internet Protocol)», RFC 791, Сентябрь 1981.
[9]J. Postel. The TCP Maximum Segment Size and Related Topics. RFC 879, SRI Network Information Center, November, 1983.
[10]Michael Reilly. Private Communication.
[11]Sun Microsystems, Inc. RPC: Remote Procedure Call Protocol. RFC 1057, SRI Network Information Center, June, 1988.

Адреса авторов

Jeffrey Mogul
Digital Equipment Corporation Western Research Laboratory 100 Hamilton Avenue
Palo Alto, CA 94301
Phone: (415) 853-6643
EMail: moc.ced.lrwced@lugom

Steve Deering
Xerox Palo Alto Research Center
3333 Coyote Hill Road
Palo Alto, CA 94304
Phone: (415) 494-4839
EMail: moc.xorex@gnireed

Страница 15 из 15

2007 - 2017 © Русские переводы RFC, IETF, ISOC.