Ограничение паразитного трафика
Проблемы, с которыми приходится сталкиваться при данном типе атак, многочисленны, и включают в себя недостатки реализации программного обеспечения ЭВМ, методологии маршрутизации, и сами протоколы TCP/IP. Однако, путем ограничения транзитного трафика, который исходит из известных и преднамеренно анонсированных сетевых префиксов, проблема фальсификации адреса отправителя может быть существенно подавлена для этих сценариев атаки.
11.0.0.0/8
/
маршрутизатор 1
/
/
/ 204.69.207.0/24
ISP <----- ISP <---- ISP <--- ISP <-- маршрутизатор <-- атакер
A B C D 2
/
/
маршрутизатор 3
/
12.0.0.0/8
В вышеприведенном примере, атакер находится в области 204.69.207.0/24, доступ которой к Интернет обеспечивается провайдером D. Фильтр входного трафика канала "маршрутизатора 2", который обеспечивает подключение к Интернет сети атакера, осуществляет ограничение трафика, разрешая прохождение пакетов, посланных из зоны с адресным префиксом 204.69.207.0/24, и запрещая использование атакером "неверных" адресов отправителя, которые находятся вне пределов диапазона, заданного этим префиксом. Другими словами, входной фильтр в "маршрутизаторе 2" должен осуществлять следующую функцию:
|
IF |
адрес отправителя пакета лежит в пределах 204.69.207.0/24 |
|
THEN |
переадресовать пакет по назначению, |
|
IF |
адрес отправителя какой-то иной, |
|
THEN |
отвергнуть пакет |
Сетевые администраторы должны регистрировать информацию о пакетах, которые отбрасываются. Это затем служит основой для мониторинга подозрительной деятельности.
