RFC 2827試譯

引言

在Internet上搜尋到RFC 2827–Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing，搭配Yahoo字典、和Google翻譯等工具，我嘗試著將文章的片段翻譯成繁體中文版，希望大家對於變造來源位址所造成的拒絕服務攻擊擁有些許認識。

摘要

對於Internet服務供應商和Internet社群來說，最近出現使用變造來源位址的各種拒絕服務(DoS，Denial of Service)攻擊已經被證明是一個麻煩的問題。本文討論了一種簡單、有效、且直接的方法，針對使用變造的IP位址從Internet服務供應商的匯聚點“後面”傳播的形式，使用入境封包過濾來禁止拒絕攻擊。

本文

1. 簡介

針對Internet上各種目標的拒絕服務攻擊的出現，為Internet服務供應商和網路安全社群中產生了新的挑戰是找到新穎且創新的方法來減輕這些類型的攻擊。 達到此一目標的困難重重，既存的一些簡單工具可以限制這些攻擊的有效性和範圍，然而，它們沒有被廣泛地施行。

前述攻擊方法已為人熟知，然而，抵禦這項攻擊卻仍是一個必須持續關注的議題。Bill Cheswick指出他書中的“防火牆和互聯網安全”章節的一小段的陳述，受到攻擊的系統管理員無法有效地保護系統。通過前述的方法，他擔心是否該鼓勵該方法的使用。

雖然本文討論的過濾方法沒有辦法絕對地防止源自有效前綴(IP位址)的flooding攻擊，但是它將防止不遵守入境過濾規則而發起網路攻擊的人，使用變造來源位址發起這類攻擊。所有Internet連線供應商都被督促要實作本文描述的過濾方法，以便禁止攻擊者使用不在合法聲明的前綴範圍內的變造來源位址。換句話說，如果Internet服務供應商正在匯聚多個下行網路的路徑公告，則應使用嚴格的封包過濾來禁止聲稱源自這些匯聚的公告之外的封包。

實作這種類型過濾的另一個好處是它讓發起者能夠容易地追踪到它的真實來源，因為攻擊者必須使用有效的、合法可達的來源位址。

2. 背景

一個簡化的TCP SYN flooding問題的圖例如下所示：

假設：

 　○ “host”是被鎖定的機器。

　○ 攻擊者駐留在“有效”的前綴之內，此即204.69.207.0/24。

　○ 攻擊者透過隨機變造來源位址展開攻擊；在本例中的來源位址通常不會在全域的Internet選徑表中呈現，因此無法抵達。然而，任何不可抵達的前綴都可能被拿來犯下這類攻擊。

另外值得提及的案例是來源位址被變造成看起來源於在全域選徑表中出現的另一合法網路的情況。例如使用有效網路位址的攻擊者可能會使攻擊似乎來自於某一個組織，但這個組織實際上並沒有發起攻擊，完全地無辜，因此可能會造成嚴重破壞。在這種情況下，遭受攻擊的系統管理員可能傾向於過濾明顯來自於攻擊來源的所有流量。添加這樣的過濾器將導致拒絕服務那些合法的、無敵意的終端系統。在這種情況下，被攻擊系統的管理員將不知不覺地成為攻擊者的同謀。

更複雜的是TCP SYN flooding攻擊將導致SYN-ACK封包被發送到一個或許多主機，它們未參與攻擊、但卻成為次要的受害者。這允許攻擊者同時虐待兩個或更多系統。

類似的攻擊也可以嘗試使用UDP和ICMP flooding。前一種攻擊(UDP flooding)使用變造的封包來嘗試將Chargen (Character Generator Protocol) UDP服務連接到另一個站臺上的UDP反射(echo)服務。系統管理員不應允許從其管轄領域之外的UDP封包被發送到系統的診斷埠。後一種攻擊(ICMP flooding)使用了在IP子網路廣播複製機制裡隱蔽的特性。這種攻擊依賴於路由器服務於大型多重存取的廣播網路，將IP廣播位址(例如一個目的地為10.255.255.255)映射到第二層廣播訊框(如乙太網路的FF:FF:FF:FF:FF:FF)。乙太網路網路卡硬體(尤其是MAC層硬體)在正常操作中將只監聽指定數量的位址。所有設備在正常操作中共享的一個MAC位址是媒體廣播或FF:FF:FF:FF:FF:FF。在這種情況下，設備將取得封包並發送中斷以便進行處理。因此，這些廣播訊框的氾濫將消耗終端系統上的所有可用資源。一個細心的系統管理員應該考慮確保它們的邊界路由器不允許有向廣播封包透過預設通過其路由器轉發。

當使用不可達的來源位址啟動TCP SYN攻擊時，目標主機嘗試預留等待回應的資源。攻擊者重複地變造各個發送的新封包的來源位址，進而耗盡額外的主機資源。

或者，如果攻擊者使用其他人的有效主機位址作為來源位址，受攻擊系統將發送大量的SYN / ACK封包到它認為是建立一連串連線的發起者。以這種方式，攻擊者將確實地損壞兩個系統：目的地目標系統、以及實際上在全球選徑系統中使用了該行騙位址的系統。

這兩種攻擊方法的結果是性能嚴重下降，或者更糟的是系統崩潰。

為了對付這種威脅，大多數作業系統供應商已經修改了他們的軟體，以允許目標伺服器以非常高的連線嘗試速率維持攻擊。這是問題解決方案中的受歡迎和必要的部分。入境過濾將需要時間來實現並且完全有效，但是可以快速實現對作業系統的擴展。這種組合應已證明對來源位址變造是有效的。有關供應商和平台軟體升級信息，請參閱相關文獻。

3. 限制變造的流量

這種類型的攻擊遭遇的問題很多，並且涉及主機軟體實作、選徑方法、和TCP/IP協定本身的缺點。 然而，通過將源自下行網路的傳輸流量限制為已知的和有意地通告的前綴，幾乎可以消除該攻擊情形中來源位址變造的問題。

參考上面的圖例，攻擊者駐留在204.69.207.0/24內，其由ISP編號D提供Internet連線。在提供給攻擊者的網路連接性的“router 2”的入口(輸入)鏈路上的輸入流量過濾器，限制流量僅允許源自204.69.207.0/24前綴內的來源位址的流量，並且禁止攻擊者使用駐留在該前綴範圍之外的“無效”來源位址。

換句話說，“router 2”的輸入過濾器將會檢查：

　若(IF)封包的來源位址來自於204.69.207.0/24則(THEN)轉發；

　若(IF)封包的來源位址來自於其它地方則(THEN)拒絕。

網路管理員應該記錄丟棄的封包的訊息。這同時提供了監測任何可疑活動的基礎。

4. 網路設備其他可能附加的功能

對於未來的平台實作，應該考慮附加功能。 以下是值得注意的事項：

　○ 在遠端存取伺服器上實現自動過濾。在大多數情況下，撥上存取伺服器的用戶是個別PC上的個別用戶。源自該PC的封包的唯一有效來源IP位址是由ISP分配的(無論是靜態分配還是動態分配)。遠端存取伺服器可以檢查入口上的每個封包，以確保用戶未變造他正在發起的封包上的來源位址。顯然，還需要對客戶透過遠端路由器合法地附加至網路或子網路的情況做出規範，但是，這當然可以作為可選參數來實現。我們收到的報告顯示，一些供應商和一些ISP已經著手實作此一功能。

我們考慮建議路由器同時如文獻中所建議的那樣驗證發送者的來源IP位址，但是該方法在當今的真實網路中無法很順暢地運作。建議的方法是查找來源位址以檢查到該位址的返回路徑，檢查流出和封包抵達時是否使用相同的介面。隨著Internet中非對稱路徑數量的增長，這顯然存有問題。

5. 責任

過濾這種性質有可能打破某些類型的“特殊”服務。然而，提供這些類型的特殊服務的ISP的最佳利益是考量實現這些服務的替代方法，以避免遭受入口流量過濾的影響。

如文獻中定義的移動IP特別容易受入口流量過濾的影響。如其所述，送往移動節點的流量被隧道化，但是來自移動節點的流量未被隧道化，這導致來自移動節點的封包具備了跟該站臺所連接的網路不匹配的來源位址。為了適應入口過濾和其他問題，移動IP工作小組在另一文獻中制定了“反向隧道”方法，這將提供用於由移動節點發送的資料在傳輸到Internet之前，以隧道傳輸到home agent的方法。反向隧道方案具有額外的好處，包括更好地處理群播流量。此處鼓勵移動IP系統實作這種反向隧道的方法。

如前所述，雖然入口流量過濾顯著地減少了來源位址變造的成功率，但是它未排除攻擊者使用在允許的前綴過濾器範圍內的另一主機的變造的來源位址。然而，它確實確保當確實發生這種性質的攻擊時，網路管理員可以確定攻擊實際上源自正在被通告的已知前綴內。這讓跟踪罪魁禍首的動作變得簡化，最壞的情況下，管理員可以阻止一系列來源位址，直到問題解決。

如果在使用DHCP或BOOTP的環境中使用入口過濾，建議網路管理員確保來源位址為0.0.0.0和目的位址為255.255.255.255的封包能夠到達路由器中的適當的中繼代理。但是，應當控制有向廣播複製的範圍而不是任意轉發。

6. 小結

在Internet連接的網路的外圍的入口流量過濾將降低來源位址變造拒絕服務攻擊的有效性。網路服務供應商和管理員已經開始在外圍路由器上實現此類型的過濾，並且建議所有服務供應商盡快完成這類過濾。除了幫助Internet社群作為一個整體來擊敗這種攻擊方法，它還可以幫助服務供應商查找攻擊的來源，只要服務供應商可以明確地證明他們的網路已經在客戶鏈路上的入口過濾。

公司網路管理員應實作過濾，以確保其公司網路不是此類問題的根源。實際上，過濾可以在組織內使用，以確保用戶不會因為不正確地將系統連接到錯誤的網路而導致問題。

過濾實務上也可以阻止不滿的員工進行匿名攻擊，所有網路管理員的責任是確保他們不會成為這種攻擊的不知情來源。

7. 安全注意事項

本文件的主要目的是在本質上增加整個Internet社群的安全實踐和意識；隨著越來越多的Internet供應商和企業網路管理員實作入口過濾，攻擊者使用變造的來源位址作為攻擊方法的機會將大大減少。當來源更可能是“有效”的時候，將簡化攻擊來源的跟踪程序。通過減少Internet整體的攻擊的數量和頻率，更多的資源被用在跟踪最終發生的攻擊。

參考文獻

https://tools.ietf.org/html/rfc2827