Ingress RFC1918 spoofing: come gestirlo?

6

Ho visto pacchetti provenienti da indirizzi RFC1918 di due ISP europei di dimensioni abbastanza grandi (ASN1257 e ASN35706 più piccoli) che arrivano sui collegamenti di transito eBGP ultimamente, e sono un po 'perplesso sul motivo per cui non sarebbe stato abbandonato da un ACL prima entrata nella rete del mio ISP (o, davvero, entrata nella rete di QUALSIASI ISP).

Pur riconoscendo che questa non è una minaccia, la trovo interessante e mi piacerebbe sapere che esperienza hanno gli altri di questo.

In questo esempio, 192.168.146.0/24 è una mia rete RFC1918 e la porta 8111 ospita un servizio HTTP Push per un cliente piuttosto grande.

# "FINSYN" packet 
10:58:07.069638 IP 192.168.1.2.58211 > 192.168.146.101.8111: Flags [FS], seq 737341754, win 65535, options [mss 1392,nop,wscale 4,nop,nop,TS val 1648454418 ecr 0,sackOK,eol], length 0
10:59:37.115697 IP 192.168.146.101.8111 > 192.168.1.2.58214: Flags [S.], seq 49951854, ack 1797656853, win 5792, options [mss 1460,sackOK,TS val 3490717429 ecr 1648449264,nop,wscale 7], length 0

# traceroute 192.168.1.2
traceroute to 192.168.1.2 (192.168.1.2), 30 hops max, 60 byte packets
 1  192.168.146.2 (192.168.146.2)  0.142 ms  0.145 ms  0.164 ms 
 2  a.b.c.d (a.b.c.d)  1.215 ms  1.535 ms  1.713 ms
 3  * * *
 4  user7x.217-10-127.netatonce.net (217.10.127.7x)  4.723 ms  4.693 ms  4.881 ms


Le mie aspettative sono equilibrate?

Ti aspetti che tali pacchetti possano persino entrare nella rete del tuo ISP?

Cambieresti ISP?

Feedback aggiuntivo?

    
posta 3molo 01.04.2012 - 21:27
fonte

1 risposta

5

Non proprio, sì, e no. Gli ISP tendono a non filtrare il traffico in questo modo per un paio di motivi:

Il primo è pratico. Le apparecchiature progettate per elaborare elevati volumi di pacchetti si sono evolute al punto che molte decisioni di routing vengono prese nell'hardware. L'imposizione di ACL devia il traffico da gestire nel software, che non instrada i pacchetti quasi altrettanto rapidamente, aggiungendo alla quantità di apparecchiature necessarie per instradare lo stesso volume. Questo è davvero un problema di valutazione della minaccia prima di agire su di essa. Il livello di traffico che contiene indirizzi 1918 falsificati dovrebbe essere sufficiente per avere effetti dannosi su altre parti della rete prima che un ISP possa avviare una causa commerciale per l'implementazione degli ACL e investire in più attrezzature. Quando quell'attrezzatura è un telaio del router popolato da carte che costano sei cifre ciascuna , la barra è impostata relativamente alta.

Il secondo è legale. Il prodotto venduto dalla maggior parte dei fornitori di servizi Internet alla maggior parte dei clienti aziendali è il semplice transito di pacchetti di vaniglia. Una volta che l'ISP inizia a filtrare il traffico dei clienti, corre il rischio di essere ritenuto responsabile per non che ha traffico filtrato che un cliente ritiene dannoso. La maggior parte dei contratti indennizza esplicitamente l'ISP da questo, ea quel punto non ha senso aggiungere filtri, mettendo l'onere interamente sul cliente. Ecco perché le connessioni gestite e protette da firewall sono più costose di quelle standard: costa di più fornire e comporta più responsabilità.

Le tue opzioni sono di abbandonare il traffico al tuo ingresso o, nel caso in cui tu ne stia vedendo in grande quantità, prenderlo con il team di abuso di AS originario.

    
risposta data 03.04.2012 - 16:53
fonte

Leggi altre domande sui tag