APNIC文摘—您是否有過濾向內的異常封包?

本APNIC文摘原標題為Are you filtering for inbound spoofed packets? Chances are you’re not,由法國格勒諾布爾阿爾卑斯大學(Grenoble Alpes University)副教授MaciejKorczyński撰文。

來源位址驗證(Source Address Validation,SAV)是一種過濾技術協定,自2000年開發至今,SAV始終是網路入口過濾的最佳做法,也是防範阻斷服務(Denial of Service,DoS)攻擊的重要一環。網路若有裝設SAV,便能即時發現來源IP位址的前綴(prefix)不符,進而丟掉被動過手腳的訊息封包。

雖然SAV在這20年間一直是最佳過濾做法,但許多網路仍尚未設置SAV。在針對此現象的研究中,大部分都集中於向外(outbound)的SAV架設。研究指出,向外SAV建置不踴躍的主因是缺乏經濟動機:網路若架設向外SAV,是在保護網際網路免於自身網路中主機的惡意行為,完全無法保護到自己。

但這些研究中,針對向內(inbound)SAV,也就是以來源IP位址過濾外來訊務,進而保護網路自身的技術,卻少見著墨。

有鑑於此,作者與自身團隊發明了全新的量測方式,量測並找出未裝設向內SAV的網路。研究結果發現,網際網路中有至少一半的自治系統(Autonomous Systems,AS)並未裝設SAV;這代表這些自治系統所在的網路不僅難以防範DoS攻擊,遭受其他如DNS快取中毒、NXNSAttack攻擊的可能性也大幅增加。

藉由呈現網際網路中裝置與網路架設SAV的比例,作者希望鼓勵所有尚未架設SAV的網路盡快投入此最佳做法。除此之外,作者團隊也計畫持續量測並進行網際網路SAV架設普及率的長程分析。若對此計畫有興趣,可前往此處了解更多資訊。

*台灣網路資訊中心(TWNIC)與亞太網路資訊中心(APNIC)合作,定期精選APNIC Blog文章翻譯摘要,提供中心部落格讀者了解目前亞太地區網路發展之最新趨勢。原文標題為Are you filtering for inbound spoofed packets? Chances are you’re not

Photo created by freepik

回到頂端