互联网拒绝服务攻击

网络工作组P.
弗格森请求评论:2827CiscoSystems,Inc.
过时:D.
Senie2267BCP:38AmaranthNetworksInc.
类别:最新最佳实践(2000年5月)网络入口过滤:击败采用IP源地址欺骗的拒绝服务攻击该备忘录的状态本文档指定了互联网社区的互联网最佳实践,并要求讨论和提出改进建议.
版权声明版权所有(C)互联网协会(2000).
保留所有权利.
摘要最近事实证明,使用伪造源地址的各种拒绝服务(DoS)攻击对于互联网服务提供商和整个互联网社区来说都是一个麻烦的问题.
本文讨论了一种简单,有效,简单的入口流量过滤方法禁止使用"伪造"IP地址的拒绝服务攻击从互联网服务提供商(ISP)聚合点"背后"传播.
目录1.
简介22.
背景33.
限制伪造流量.
54.
联网设备的进一步功能65.
负债66.
摘要77.
安全注意事项.
88.
致谢89.
参考文献810.
作者的地址911.
完整的版权声明10Ferguson&Senie最佳实践[第1页]RFC2827网络入口过滤May2000Ferguson&Senie当前最佳实践[Page2]1.
引言针对互联网中各种目标的拒绝服务攻击浪潮再起[1],这在互联网服务提供商(ISP)和网络安全社区内部提出了新的挑战,需要寻找新的创新方法来减轻此类攻击.
实现这一目标的困难很多.
一些简单的工具可以限制这些攻击的有效性和范围,但尚未广泛实施.
这种攻击方法已有一段时间了.
然而,捍卫它一直是一个令人担忧的问题.
BillCheswick引用[2]就是说,他在最后一刻从书中提到了"防火墙和互联网安全"[3],因为被攻击系统的管理员无法有效防御系统.
在提及该方法时,他担心会鼓励使用该方法.
虽然本文档中讨论的过滤方法绝对无法防范源自有效前缀(IP地址)的泛洪攻击,但将阻止原始网络内的攻击者使用不符合标准的伪造源地址发起此类攻击进入过滤规则.
敦促所有互联网连接提供商实施本文档中描述的过滤,禁止攻击者使用伪造的源地址,这些源地址不在合法公告前缀的范围内.
换句话说,如果ISP正在聚合多个下游网络的路由通告,流量过滤应用于禁止声称源自这些汇总公告之外的流量.
实施此类过滤的另一好处是,可以使发起方轻松跟踪其真实来源,因为攻击者必须使用有效且可合法到达的源地址.
RFC2827网络入口过滤May2000Ferguson&Senie当前最佳实践[Page3]2.
背景资料下面是TCPSYN泛洪问题的简化示意图:204.
69.
207.
0/24主机拒绝服务攻击的有效性.
网络服务提供商和管理员已经开始在外围路由器上实施这种类型的过滤,建议所有服务提供商尽快这样做.
除了帮助整个互联网社区击败这种攻击方法之外,如果服务提供商可以明确证明其网络已经在客户链路上建立了入口过滤,还可以帮助服务提供商定位攻击源.
公司网络管理员应实施过滤,确保其公司网络不是此类问题的根源.
确实,可以在组织内部使用过滤,以确保通过将系统不正确地连接到错误的网络来确保用户不会造成问题.
实际上,过滤还可能阻止心怀不满的员工免受匿名攻击.
所有网络管理员都有责任确保自己不会成为此类攻击的不明来源.
7.
安全注意事项本文档的主要目的是从本质上提高整个互联网社区的安全实践和认识;随着越来越多的互联网提供商和企业网络管理员实施入口过滤,攻击者利用伪造源地址作为攻击方法的机会将大大减少.
当来源更可能为"有效"时,简化追踪攻击源的方式.
通过减少整个互联网的攻击次数和频率,将有更多资源追踪最终发生的攻击.
8.
致谢北美网络运营商小组(NANOG)[5]作为一个整体,在公开讨论这些问题并积极寻求可能的解决方案时,应受到特别赞扬.
另外,还要感谢JustinNewton(Priori网络)和SteveBielagus(IronBridge网络)的评论和贡献.
9.
参考文献[1]CERT咨询CA-96.
21;TCPSYN泛洪和IP欺骗攻击;1996年9月24日.
[2]B.
齐格勒,"HackerTanglesPanix网站",《华尔街日报》,1996年9月12日.
[3]"防火墙和互联网安全:击退狡猾的黑客";威廉·R·切斯威克和史蒂文·贝洛文,Addison-Wesley出版公司,1994年;ISBN0-201-63357-4.
[4]Rekhter,Y.
,Moskowitz,R.
,Karrenberg,D.
,deGroot,G.
和E.
Lear,"专用互联网的地址分配",1996年2月.
RFC1918[5]北美网络运营商组;.
http://www.
nanog.
org[6]Perkins,C,"IP移动性支持",1996年10月.
RFC2002RFC2827网络入口过滤May2000Ferguson&Senie当前最佳实践[Page8][7]黑山共和国,"移动IP反向隧道",1998年5月.
RFC2344[8]Baker,F,"IP版本4路由器的要求",1995年6月.
RFC1812[9]感谢:CraigHuegen;请参阅:.
http://www.
quadrunner.
com/~chuegen/smurf.
txt10.
作者致辞PaulFergusonCiscoSystems,Inc.
13625DullesTechnologyDr.
Herndon,Virginia20170USA电子邮件:ferguson@cisco.
comDanielSenieAmaranthNetworksInc.
324StillRiverRoadBolton,MA01740USA电子邮件:dts@senie.
comRFC2827NetworkIngressFilteringMay2000Ferguson&SenieBestCurrentPractice[Page9]11.
完整的版权声明版权所有(C)互联网协会(2000).
保留所有权利.
可以将本文档及其译文复制和提供给他人,对本文档进行评论或其他解释或协助其实施的衍生作品可以全部或部分地准备,复制,出版和分发,而不受任何种类的限制.
,但以上所有副本和衍生作品均应包含上述版权声明和本段内容.
但是,不得以任何方式修改本文档,例如,删除版权声明或对互联网协会或其他互联网组织的引用,但出于开发互联网标准的需要(在这种情况下,必须遵循互联网标准流程中定义的版权程序),或将其翻译成英语以外的其他语言所需.
上面授予的有限权限是永久的,互联网协会或其继承者或受让人不会撤销.
本文档和此处包含的信息按"原样"提供,互联网社会和互联网工程任务不作任何明示或暗示的担保,包括但不限于此处使用信息的任何担保侵犯针对特定目的的适销性或适用性的任何权利或任何默示担保.
致谢RFC编辑器功能的资金目前由互联网协会提供.