Фильтрация входящего трафика

Фильтрация входящего трафика — техника, применяемая при обработке пакетов на сетевых устройствах, призванная исключить поддельные или странные пакеты, имеющие неправильный адрес отправителя. В общем случае, она позволяет ослабить влияние DDoS-атак на работу какого-либо сетевого сервиса.

[править] Проблема

Архитектура «клиент-сервер» подразумевает общение между собой двух частей сервиса. Обычно, такое общение происходит посредством передачи данных (кадров или пакетов) внутри сети.

В мире существует огромное количество сетей и в целом ситуации, когда устройства из одной сети получают пакет из другой сети — нормальны.

Обычно пакет содержит IP-адрес устройства, которое отправило этот пакет. Благодаря этому, получатель пакета может узнать откуда он пришёл и кому отправить на него ответ, кроме тех случаев, когда работа осуществляется через прокси или когда указывается фальшивый IP, который не связывает отправившего пакет устройства с реальным адресом.

IP-адрес отправителя может быть заведомо указан не верно, именно это лежит в основе спуф-атаки (IP-спуфинг). Техника может быть применена при организации DDoS.

[править] Возможные решения

Очевидное решение проблемы сводится к простой фильтрации входящего трафика по определённым правилам, которые проще всего объяснить на конкретном примере.

Допустим, маршрутизатор, при включении питания и инициализации, получает диапазон адресов 171.17.128.0/18. Он полагает, что все входящие пакеты должны иметь в отправителях IP адрес из этого диапазона адресов. Принимая и обрабатывая от сети очередной пакет, с адресом отправителя, например, 192.168.130.7, устройство его фильтрует. Получение пакета с таким адресом в текущей конфигурации означает одно из двух: либо это ошибка конфигурации, либо спланированная атака. В обоих случаях целесообразно отказаться от него, прежде чем он достигнет адреса назначения.

[править] Фильтрация на уровне провайдера

Данную фильтрацию используют многие провайдеры, что бы попытаться предотвратить подмену адреса источника интернет-трафика ещё на своём уровне, т.е не доводя пакеты до клиентского оборудования. Это может довольно не плохо ослабить влияние атаки и предотвратить возможные отказы сервисов.

Фильтрация является частью хорошей практики, которая основывается на сотрудничестве между собой интернет-провайдеров для их взаимной выгоды.

Наилучшие текущие методы для фильтрации сетевого входного трафика задокументированы Целевой группой Internet Engineering в документах BCP под номерами 38 и 84, которые также являются RFC 2827 и RFC 3704 соответственно.

BCP 84 рекомендует поставщикам, расположенным вверх по течению, осуществлять фильтрацию пакетов и проверять IP адрес источника, отбрасывая при этом все пакеты, которые не принадлежат его подсети, тем самым не пропуская такие пакеты далее.

[править] Возможности OpenBSD

Брандмауэр в OpenBSD предоставляет возможность простой установки такого фильтра. При использовании такой конфигурации, пакеты на линии с поддельным адресом отправителя отбрасываются в сетевом интерфейсе EM0:

antispoof for em0

[править] Примечания

Данный вид фильтрации имеет несколько недостатков:

1. Фильтрация не сработает, если атака происходит внутри одной подсети. Например, адрес цели — 171.17.130.5, адрес атакующего — 171.17.130.99
2. Фильтрация может проводиться эффективно не всегда и только со стороны принимающей стороны

Тем не менее, данный метод может помочь защититься от DDoS-атаки через отражение (DNS Amplification Attack).

[править] Ссылки

• BCP38 — Network Ingress Filtering:Defeating Denial of Service Attacks which employ IP Source Address Spoofing
• BCP84 — Ingress Filtering for Multihomed Networks
• DNS Amplification Attack
• DNS Amplification DDoS: Анатомия атаки и защиты. Часть 1