Ingress RFC1918 欺骗:如何处理?

信息安全 ip欺骗
2021-09-10 02:42:04

我最近看到来自两个相当大的欧洲 ISP(ASN1257 和较小的 ASN35706)的来自 RFC1918 地址的数据包进入 eBGP 传输链路,我有点困惑为什么它不会被我的 ACL 第一个入口丢弃ISP 的网络(或者实际上是任何 ISP 网络的入口)。

虽然我承认这不是威胁,但我觉得这很有趣,我想知道其他人对此有何经验。

在这个例子中,192.168.146.0/24 是我的一个 RFC1918 网络,端口 8111 为一个相当大的客户提供 HTTP 推送服务。

# "FINSYN" packet 
10:58:07.069638 IP 192.168.1.2.58211 > 192.168.146.101.8111: Flags [FS], seq 737341754, win 65535, options [mss 1392,nop,wscale 4,nop,nop,TS val 1648454418 ecr 0,sackOK,eol], length 0
10:59:37.115697 IP 192.168.146.101.8111 > 192.168.1.2.58214: Flags [S.], seq 49951854, ack 1797656853, win 5792, options [mss 1460,sackOK,TS val 3490717429 ecr 1648449264,nop,wscale 7], length 0

# traceroute 192.168.1.2
traceroute to 192.168.1.2 (192.168.1.2), 30 hops max, 60 byte packets
 1  192.168.146.2 (192.168.146.2)  0.142 ms  0.145 ms  0.164 ms 
 2  a.b.c.d (a.b.c.d)  1.215 ms  1.535 ms  1.713 ms
 3  * * *
 4  user7x.217-10-127.netatonce.net (217.10.127.7x)  4.723 ms  4.693 ms  4.881 ms



我的期望是否合理?

您是否希望此类数据包甚至进入您的 ISP 网络?

你会改变ISP吗?

额外的反馈?

1个回答

不是真的,是的,也不是。ISP 倾向于不以这种方式过滤流量,原因如下:

第一个是实用的。设计用于处理大量数据包的设备已经发展到许多路由决策都在硬件中做出的地步。强加 ACL 将流量转移到软件中处理,软件路由数据包的速度几乎没有,增加了路由相同数量所需的设备数量。这确实是一个在采取行动之前评估威胁的问题。在 ISP 提出实施 ACL 和投资更多设备的商业案例之前,包含欺骗性 1918 地址的流量水平必须足以对网络的其他部分产生不利影响。如果该设备是一个路由器机箱,其中装有每张价格为六位数的卡,则标准设置得相对较高。

二是合法。大多数 ISP 向大多数商业客户销售的产品是普通的、普通的数据包传输。一旦 ISP 开始过滤客户流量,它就有可能因过滤客户认为有害的流量而承担责任。大多数合同都明确地向 ISP 提供赔偿,此时添加过滤没有意义,将责任完全放在客户身上。这就是为什么托管的防火墙连接比常规连接更昂贵:提供成本更高并且承担更多责任。

您的选择是在入口处丢弃流量,或者,如果您看到大量流量,请与原始 AS 的滥用团队一起处理

其它你可能感兴趣的问题
上一篇安全禁用火线/雷电,修补 DMA 暴露 下一篇如何将 OAuth 与 Active Directory 一起使用