RFC: 2827
Оригинал: Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing
Предыдущие версии: RFC 2267
Категория: Лучший современный опыт
Дата публикации:
Авторы: ,
Перевод: Николай Малых

RFC 2827, Страница 7 из 7

6. Заключение

Входная фильтрация трафика на периферии подключенных к Internet сетей будет снижать эффективность DoS-атак с подменой адреса отправителя. Провайдеры и администраторы корпоративных сетей уже начали использование этого типа фильтрации на периферийных маршрутизаторах. Всем сервис-провайдерам рекомендуется реализовать такие фильтры как можно скорее. В дополнение к избавлению сообщества Internet от атак этого типа предложенный метод также помогает провайдерам локализовать источник атаки в своей сети, если входные фильтры реализованы на маршрутизаторах, используемых для подключения заказчиков.

Администраторам корпоративных сетей также следует реализовать такие фильтры, чтобы предотвратить возможность организации атак из своей сети. Фильтрация также позволит избавиться от проблем, связанных с некорректным подключением систем к сети.

На всех сетевых администраторов ложится ответственность за предотв ращение атак с подменой адресов отправителей из контролируемых ими сетей.

7. Вопросы безопасности

Основной задачей данного документа является повышение уровня осведомленности и безопасности сообщества Internet в целом. Чем больше провайдеров Internet и корпоративных пользователей реализует в своих маршрутизаторах входные фильтры, тем сложнее будет организовать атаки с подменой адресов отправителей в пакетах. Фильтрация также упрощает поиск источников атак. Снижение числа атак в сети Internet позволит более эффективно использовать ресурсы для отслеживания атак, которые все-таки будут происходить время от времени.

8. Благодарности

Авторы благодарят группу NANOG [5] за активное обсуждение вопроса и участие в поисках возможных решений. Благодарим также Justin Newton [Priori Networks] и Steve Bielagus [IronBridge Networks] за их комментарии и вклад в работу.

9. Литература

[1]CERT Advisory CA-96.21; TCP SYN Flooding and IP Spoofing Attacks; September 24, 1996.
[2]B. Ziegler, «Hacker Tangles Panix Web Site», Wall Street Journal, 12 September 1996.
[3]«Firewalls and Internet Security: Repelling the Wily Hacker»; William R. Cheswick and Steven M. Bellovin, Addison-Wesley Publishing Company, 1994; ISBN 0-201-63357-4.
[4]Rekhter, Y., Moskowitz, R., Karrenberg, D., de Groot, G., and E. Lear, «Распределение адресов в частных IP-сетях», RFC 1918, Февраль 1996.
[5]The North American Network Operators Group; http://www.nanog.org.
[6]Perkins, C., «IP Mobility Support», RFC 2002, October 1996.
[7]Montenegro, G., «Reverse Tunneling for Mobile IP», RFC 2344, Май 1998.
[8]Baker, F., «Requirements for IP Version 4 Routers», RFC 1812, Июнь 1995.
[9]Thanks to: Craig Huegen; See: http://www.quadrunner.com/~chuegen/smurf.txt.

10. Адреса авторов

Paul Ferguson
Cisco Systems, Inc.
13625 Dulles Technology Dr.
Herndon, Virginia 20170 USA
EMail: moc.ocsic@nosugref

Daniel Senie
Amaranth Networks Inc.
324 Still River Road
Bolton, MA 01740 USA
EMail: moc.eines@std

Страница 7 из 7

2007 - 2017 © Русские переводы RFC, IETF, ISOC.