আজকের রাউটারগুলি কি নকল আইপি শিরোলেখগুলিকে প্রতিরোধ করে?

11

আমি জানি লোকেরা আইপি শিরোলেখগুলি সংশোধন করতে পারে এবং উত্স আইপি ঠিকানা পরিবর্তন করতে পারে তবে নেটওয়ার্ক ডিভাইসগুলির জন্য এই বার্তাগুলি সনাক্ত করা সহজ হওয়া উচিত। যদি তারা না করে, তবে এত কঠিন কেন? এটি কি খুব বেশি ওভারহেড যুক্ত করে?

routing  router  ipv4  best-practices 
Nachos
সূত্র
দ্রষ্টব্য: সঠিক বাক্যাংশটি হল "অ্যান্টি-স্পুফিং"। ভুয়া আমাকে "জাল রোলেক্সেস" বলে (যা বিটিডব্লিউ একটি সম্পূর্ণ আলাদা নেটওয়ার্ক হ্যাক / আক্রমণ)
রিকি বিম

উত্তর:

17

আমি জানি লোকেরা আইপি শিরোলেখগুলি সংশোধন করতে পারে এবং উত্স আইপি ঠিকানা পরিবর্তন করতে পারে তবে নেটওয়ার্ক ডিভাইসগুলির জন্য এই বার্তাগুলি সনাক্ত করা সহজ হওয়া উচিত।

হেডারগুলিতে নকল আইপি উত্স ঠিকানাগুলি বাণিজ্যিক নেটওয়ার্ক গিয়ারে সনাক্ত এবং অবরুদ্ধ করা যেতে পারে; অন্যান্য জাল আইপিভি 4 শিরোনামগুলি সনাক্ত করা কিছুটা শক্ত হতে পারে। বেশিরভাগ লোক নকল উত্সের আইপি ঠিকানাগুলি সনাক্ত করতে "ইউনিকাস্ট রিভার্স পাথ ফরোয়ার্ডিং" হিসাবে উল্লেখ করে যা সংক্ষিপ্ত ইউআরপিএফ ; ইউআরপিএফ আরএফসি 3704 এ সংজ্ঞায়িত হয়েছে এবং এটি একটি ইন্টারনেটের সেরা বর্তমান অনুশীলন হিসাবে বিবেচিত হয় । ইউআরপিএফ গ্রাহক প্রাথমিক সরঞ্জাম থেকে প্রথম রাউটারে, বা কর্পোরেট নেটওয়ার্কে প্রান্ত রাউটারে প্রয়োগ করা উচিত।

যদি তারা না করে, তবে এত কঠিন কেন? এটি কি খুব বেশি ওভারহেড যুক্ত করে?

যতক্ষণ না রাউটারটি সিপিইউ ভিত্তিক রাউটার না হয় সেখানে পারফরম্যান্স পেনাল্টি নেই। আইএসপি দ্বারা ব্যবহৃত অনেকগুলি রাউটার / স্যুইচগুলিতে এই বৈশিষ্ট্যটি হার্ডওয়ারে একটি এএসআইসিতে রূপান্তরিত হয়; এটি চালু করার জন্য সাধারণত কোনও বিশাল পারফরম্যান্স পেনাল্টি হয় না। কখনও কখনও বৈশিষ্ট্যগুলির দ্বন্দ্ব রয়েছে, তবে আবার বেশিরভাগ ক্ষেত্রে এটি বিশাল চুক্তি নয়।

আইএসপি ইঞ্জিনিয়ারিং / অপারেশনাল কর্মীদের নীতি ও দক্ষতা পরিবর্তিত হয় এবং অনেক আইএসপি (বিশেষত ছোট দেশগুলিতে) জিনিসগুলিকে "কাজ" করতে এত ব্যস্ত থাকে যে জিনিসগুলিকে "ভালভাবে কাজ" করার জন্য তাদের চক্র নেই।

মাইক পেনিংটন
সূত্র
1
আইএসপি ক এবং আইএসপি বি একে অপরের সাথে সংযুক্ত থাকলে কী হয়। যদি আইএসপি একটি ইউআরপিএফ ব্যবহার না করে তবে আইএসপি বি এ সম্পর্কে কিছু করতে পারে?
নাচোস
"এটি সম্পর্কে কিছু করুন" দ্বারা, আমি ধরে নিচ্ছি আপনি ধরে নিচ্ছেন যে সিপিই থেকে আইএসপি বিয়ের প্রথম রাউটার নেই। হ্যাঁ, আইএসপি বি ইউআরপিএফও ব্যবহার করতে পারে তবে বিজিপি রাউটিংয়ের অসম্পূর্ণ প্রকৃতির কারণে তাদের এটিকে আলগা মোড নামে কিছুতে স্থাপন করতে হয় । এর অর্থ এটি জাল শিরোনামগুলি অবরুদ্ধ করার পক্ষে কার্যকর নয় ... এটি মূলত নিশ্চিত করে যে রাউটিং টেবিলের মধ্যে সোর্স আইপি অ্যাড্রেসের জন্য কোনও রুট উপস্থিত রয়েছে ... সুতরাং কেউ যদি পুরোপুরি অবিশ্বস্ত ট্র্যাফিক প্রেরণ করে তবে তা অবরুদ্ধ করা যেতে পারে।
মাইক পেনিংটন
এটি কঠোরভাবে সত্য নয় যে কেবল সিপিইউ ভিত্তিকই পারফরম্যান্স পেনাল্টি ভোগ করে। উদাহরণস্বরূপ 76 76০০ / 00৫০০ / পিএফসি 3-তে ইউআরপিএফ ছাড়াই আপনি ডাব্লুএস-এক্স 67040-10GE এ ন্যূনতম আকারের প্যাকেটগুলিতে লাইনরেট পর্যবেক্ষণ করতে পারবেন, ইউআরএফপি চালু করুন এবং সবচেয়ে ছোট ফ্রেমটি প্রায় 101 গিগাবাইটে দ্বিগুণ হয়ে গেছে যা আপনি লাইনরেটে পাঠাতে পারেন can নতুন ডিভাইসগুলি যা এনপিইউ ভিত্তিক (এএসআর 9 কে, এমএক্স, এসআর ইত্যাদি) রয়েছে ইউআরপিএফ-এ শূন্য-ব্যয়ও নেই, প্যাকেট প্রসেসিং ইঞ্জিনটি যখন এটি অক্ষম করা হয় তখন তার চেয়ে বেশি সময় নেয়, অতিরিক্ত মাত্রিক ব্যয়টিকে বিমূর্ত করতে সহায়তা করতে পারে।
ytti
4
@ আইটি, ইন্টারনেট ট্র্যাফিক গড় 101 বাইটের উপরে। এটি ইমিক্সের জন্য কোনও গুরুতর সমস্যা নয়।
মাইক পেনিংটন
1
@ অট্টি, আমি আমার উত্তরটির যোগ্যতা অর্জনে অত্যন্ত স্পষ্ট ছিলাম ... আমি বলেছিলাম "সাধারণত এটি চালু করার জন্য বিশাল পারফরম্যান্সের জরিমানা নেই"। আসুন ভুলে যাবেন না যে 6500 Sup7203BXL একটি 400Mpps মেশিন যখন পুরোপুরি ডিএফসি দ্বারা জনবহুল হয়; চ্যাসিসে ডাব্লুএস-এক্স 6704 প্রতি একটি ডিএফসি রাখুন, এবং চিন্তার কিছু নেই ... আপনি যদি পুরো চেসিসের জন্য কেবল পিএফসি 3 ফরওয়ার্ডিংয়ের উপর নির্ভর করতে যথেষ্ট পাগল হন, তবে আপনি যে সমস্যাটি পেয়েছেন সে সম্পর্কে জিজ্ঞাসা করলেন ভাল।
মাইক পেনিংটন
10

উত্স আইপি ঠিকানার পরিবর্তনের জন্য অ্যাক্সেস তালিকাগুলি (এসিএল) বা ইউনিকাস্ট বিপরীত পাথ ফিল্টারিং (ইউআরপিএফ) প্রয়োজন।

না হয় বিনামূল্যে আসা। ইউআরপিএফের জন্য সাধারণত অতিরিক্ত অনুসন্ধান বা আরও জটিল একক লুকের প্রয়োজন হয়, তাই এটি কিছু প্ল্যাটফর্মগুলিতে আপনার চেহারা কর্মক্ষমতাও অর্ধেক করতে পারে। এসিএল তাকাতে এবং মেমরিটি কমিয়ে দেবে।

ইউআরপিএফ রক্ষণাবেক্ষণ বিনামূল্যে, আপনি একবার এটি কনফিগার করুন এবং এটি ভুলে যান। এসিএলকে এমন একটি সিস্টেমের প্রয়োজন যা জানে যে কোন ঠিকানাগুলি ইন্টারফেসের পিছনে রয়েছে এবং এসিএল আপ টু ডেট থাকে তা নিশ্চিত করে।

ইউআরপিএফের চেয়ে এসিএল আরও ব্যাপকভাবে সমর্থিত, ইউআরপিএফ এল 3 সুইচ স্তরের ডিভাইসে তুলনামূলকভাবে বিরল বৈশিষ্ট্য। 'রিয়েল' রাউটারগুলিতে সাধারণত দুটি বৈশিষ্ট্যই উপলব্ধ।

এমনকি উভয় বৈশিষ্ট্য উপলব্ধ থাকলেও, ইউআরপিএফের নেটওয়ার্কের ভুল জায়গায় কনফিগার করা নেটওয়ার্কটি ভেঙে ফেলতে পারে, প্ল্যাটফর্মের নির্দিষ্ট এসিএল সীমাবদ্ধতা না বুঝে বিভ্রাট হতে পারে।

সাধারণত আপনি নিজেরাই উত্স ঠিকানার স্পোফিং প্রতিরোধে উপকৃত হন না, এটি বেশিরভাগ ক্ষেত্রেই ইন্টারনেট উপকৃত হয়। আপনি অ-শূন্য ঝুঁকিটি বহন করার চেষ্টা করছেন, কারণ আপনি বিরতি স্টাফ শেষ করতে পারেন। এবং আপনার গ্রাহকরা কোনও উপকার পাবেন না, সেগুলি বাস্তবায়নের জন্য কেউ আপনাকে বেশি অর্থ প্রদান করবে না। সুতরাং পুরষ্কার এটি কম হয়।

দায়িত্বশীল পরিষেবা সরবরাহকারী এটি করুন, কারণ এটি করা সঠিক জিনিস, তবে এটি আশা করা অবাস্তব নয় যে আমরা মোতায়েন করা অ্যাক্সেস ডিভাইসের প্রাসঙ্গিকভাবে বড় অংশে অ্যান্টিস্পোফিং পাব। আরও বেশি বাস্তবসম্মত লক্ষ্য হ'ল, আমরা যদি আইপি ট্রানজিট সংযোগগুলিতে এসিএল করি, কারণ সেখানে কেবলমাত্র প্রায় 6000 বা এত জেদী AS সংখ্যা রয়েছে।

এটি এমনকি কেন ইস্যুযুক্ত তা ইউডিপি প্রতিবিম্বের আক্রমণগুলির কারণে, যা কুইক এবং মিনিমেলটি প্রোটোকল দ্বারা স্থির করা যেতে পারে যা নিশ্চিত করে যে প্রতিবিম্বের কোনও লাভ নেই, কারণ আগত ক্যোয়ারী বহির্গামী উত্তরের চেয়ে বড় হওয়ার গ্যারান্টিযুক্ত, সুতরাং স্পোফিং তার সুবিধা হারাবে।

এটি সম্প্রতি ডিডিওএস আক্রমণ হিসাবে ইউডিপি প্রতিবিম্বটি ব্যবহার করতে বেশ জনপ্রিয় হয়ে উঠেছে। ভোক্তা সিপিই ডিভাইসে প্রচুর বিস্তৃত ওপেন ডিএনএস সার্ভার রয়েছে যা গ্রাহকরা অবগত নন, তাই এই গ্রাহকরা তাদের ঘরের সংযোগটি ভিজে যাওয়ার কারণে ক্ষতিগ্রস্থ হন কারণ এটি আক্রমণ প্রতিবিম্বিত করার জন্য ব্যবহৃত হয়। এবং দশম বাইটের উল্লেখযোগ্য পরিবর্ধনের ছোট ক্যোয়ারী অর্জনের এটিও সহজ উপায়, হাজার বাইটের বেশি উত্তর পেতে পারে। প্রতিবিম্ব ডিডিওএস আক্রমণ রয়েছে যা প্রতি সেকেন্ডে কয়েকশ গিগাবিট এবং ছোট প্রতিদিন হয়, কেবল রবিবার রাতে আমরা আমাদের এক গ্রাহকের কাছে 43 জিবিপিএস আক্রমণ স্থানান্তরিত করেছি।

ytti
সূত্র
5

উত্স অ্যাড্রেস ফিল্টারিং বাস্তব বিশ্বে অনানুষ্ঠানিক, কারণ ইন্টারনেট রাউটিং অসমমিত, তাই নীতিগতভাবে আমাদের একটি শিক্ষিত অনুমান প্রয়োজন যে এই উত্স থেকে কোনও প্যাকেট এই আগত ইন্টারফেসে প্রদর্শিত হবে কিনা।

এর জন্য কোনও সহজ সূত্র নেই, কারণ প্রতিটি নিয়মের জন্য যা প্রায় সব ক্ষেত্রেই কাজ করে, এমন একটি ব্যবহারের কেসও রয়েছে যা ব্যবসায়কে বোঝায় যা তখন ভেঙে যায়।

বিপরীত পথ ফিল্টারিং প্রান্ত রাউটারগুলিতে দুর্দান্ত কাজ করে, যেখানে "অভ্যন্তর" এবং "বাইরের" এর স্পষ্ট সংজ্ঞা রয়েছে - আপনি বহিরাগতদের "অভ্যন্তরীণ" ঠিকানাগুলি এবং এর বিপরীতে ব্যবহার করার অনুমতি দিচ্ছেন না। অপ্রয়োজনীয়তার জন্য আমি একাধিক প্রান্তের রাউটারগুলি ব্যবহার শুরু করার সাথে সাথে এটি আরও জটিল হয়ে ওঠে।

ব্যাকবোন রাউটারগুলির জন্য, একমাত্র উপায় বিপরীত পাথ ফিল্টারিং কার্যকর করা যেতে পারে যখন পীয়ার একটি কাজের পথ ঘোষণা করে (তবে এটি আমাদের পছন্দ হবে কিনা তা বিবেচনা না করে) ইনকামিং প্যাকেটগুলির অনুমতি দেওয়া। এটি একটি নিষিদ্ধ দীর্ঘ চেহারা হবে, সহজেই সাজানো এবং ব্যবহারের ক্ষেত্রে বিরতি দেয় যেখানে আমি ইচ্ছাকৃতভাবে ট্রানজিট কিনি কিন্তু সেই লিঙ্কটি দিয়ে আমার উপসর্গটি ঘোষণা করি না।

সাইমন রিখটার
সূত্র
1
উত্স ঠিকানার ফিল্টারিং বাস্তব জগতে অনাকাঙ্ক্ষিত, এটিকে ইউআরপিএফ / কঠোরভাবে পরিবর্তন করা উচিত। এসিএল ব্যবহারের মাধ্যমে উত্স ঠিকানা ফিল্টারিং হিসাবে রাউটিংয়ের প্রতিসাম্পিকতা অজানাস্টিক। এটি হ'ল, আমার বহুসংযোগযুক্ত আইপি-ট্রানজিট গ্রাহকদের ইউআরপিএফ / কঠোর করা সম্ভব নয়, তবে সেগুলিকে এসিএল করা আমার পক্ষে সহজ।
ytti
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.