Este filtrarea de intrare descrisă în RFC2827 implementată în majoritatea routerelor? Cum arată o astfel de implementare?

John Smith

26.09.2023, 19:55

RFC 2827 descrie ideea de filtrare de intrare care este menită să tratați atacurile DOS care utilizează IP spoofing:

Un filtru de trafic de intrare pe legătura de intrare (de intrare) a „routerului 2”, care oferă conectivitate la rețeaua atacatorului, restricționează traficul pentru a permite numai traficul care provine de la adresele sursă din cadrul 204.69.207.0/24 prefix și interzice folosirea unui atacator adrese sursă „invalide” care se află în afara acestui interval de prefixe.

Este o astfel de filtrare implementată în fiecare router care firmware-ul, cum ar fi suportă openWRT? Ar fi cineva atât de amabil și mi-ar oferi un document relevant fragment de cod care prevede o astfel de filtrare. A existat vreodată un document documentat cazul unui atac care a folosit IP spoofing împreună cu o modificare a firmware-ului routerului atacatorului care a permis lipsa filtrării menționate.

0 + 0

firmware

openwrt

filtrarea traficului

Ron Maupin

27.09.2023, 13:54

Acel RFC este o „Cea mai bună practică curentă” nu o „Standards Track” RFC. Nu este o cerință în _[RFC 1812, Cerințe pentru ruterele IP Versiunea 4](https://www.rfc-editor.org/rfc/rfc1812.html)_.

Răspunde

Puncte:2

Server

vidarlo

26.09.2023, 21:02

Este o astfel de filtrare implementată în fiecare router pe care îl acceptă firmware, cum ar fi openWRT?

Nu orice router acceptă ACLs. Mulți o fac, iar pentru a filtra după adresa sursă este suficient un simplu ACL. Nu trebuie să acceptați filtrarea cu stare, așa că este ieftin de implementat. Dar nu există nicio cerință inerentă în IP ca routerele să accepte filtrarea.

Deoarece traficul de eliminare este de obicei politica implicită pentru un firewall, acest lucru poate fi realizat pur și simplu cu un permis care se potrivește cu adresele sursei dorite. Traficul care nu se potrivește cu această regulă va fi renunțat prin politica implicită dacă este renunțat.

0 + 0

SEF 777

întrebarea această in alte limbi:

EN: Is ingress filtering described in RFC2827 implemented in most routers? How does such implementation look like?

TH: มีการกรองข้อมูลขาเข้าที่อธิบายไว้ใน RFC2827 ในเราเตอร์ส่วนใหญ่หรือไม่ การดำเนินการดังกล่าวมีลักษณะอย่างไร

RO: Este filtrarea de intrare descrisă în RFC2827 implementată în majoritatea routerelor? Cum arată o astfel de implementare?

RU: В большинстве маршрутизаторов реализована входная фильтрация, описанная в RFC2827? Как выглядит такая реализация?

VI: Tính năng lọc xâm nhập được mô tả trong RFC2827 có được triển khai trong hầu hết các bộ định tuyến không? Làm thế nào để thực hiện như vậy trông như thế nào?

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.