假设一个 NAT64 路由器只有 1 个用于绑定的 IPv4 地址,这意味着 NAT64 路由器有大约 65535 个 IPv4 传输地址。然后,恶意攻击者可以通过使用欺骗的源 IPv6 传输地址(IP 和端口)向 NAT64 路由器另一端的网络执行 65535 请求来耗尽整个 IPv4 传输地址空间。
我怎样才能减轻/预测这种情况?
如何通过 NAT64 中的绑定/传输地址耗尽来缓解 DoS?
网络工程
纳特
ddos
2022-02-27 17:02:32
1个回答
假设一个 NAT64 路由器只有 1 个用于绑定的 IPv4 地址,这意味着 NAT64 路由器有大约 65535 个传输地址。
这根本不是真的。传输地址是每个协议的(TCP 端口 12345不是UDP 端口 12345),并且 NAT 表实际上使用源和目标 IP 以及源和目标传输地址。每个协议的可能表条目有很多很多次 65,535 个地址组合。
然后,恶意攻击者可以通过对 NAT64 另一端的网络执行 65535 请求来耗尽整个 IPv4 传输地址空间
这是不真实的。攻击者不可能用尽所有可能的地址组合。您需要担心的是表资源。NAT 设备将有有限数量的 RAM 用于 NAT 表(TCP、UDP 和 ICMP 各一个表)。为 NAT64 设置的设备将拥有比普通路由器更多的 RAM,但仍有限制,表空间可能会耗尽,但表条目也会超时。这远比你想象的要小。
其它你可能感兴趣的问题