수신 필터링

컴퓨터 네트워킹에서 수신 필터링은 수신 패킷이 실제로 발생한다고 주장하는 네트워크로부터 오도록 하기 위해 사용되는 기술이다.이는 공격자의 패킷에 가짜 IP 주소가 포함되어 있는 각종 스푸핑 공격에 대한 대책으로 사용할 수 있다.스푸핑은 서비스 거부 공격에 자주 사용되며, 이를 완화하는 것이 수신 필터링의 주요 응용 프로그램이다.^[1]

문제

네트워크는 다른 네트워크로부터 패킷을 수신한다.일반적으로 패킷은 원래 패킷을 보낸 컴퓨터의 IP 주소를 포함한다.이것은 수신 네트워크의 기기가 그것이 어디서 왔는지 알 수 있게 하여, 그 사용자 풀 내의 특정 사용자를 정확히 지적하지 않는 프록시나 스푸핑된 IP 주소를 통해 IP 주소를 사용하는 경우를 제외하고, 회신을 라우팅(다른 것 중 가장 중요한 것)할 수 있게 한다.

송신자 IP 주소는 위장(스푸핑)하여 스푸핑 공격의 특성을 나타낼 수 있다.이는 예를 들어 서비스 거부 공격에서 전송된 패킷의 원점을 위장한다.IP 스푸핑과는 다른 방식이지만 프록시도 마찬가지다.

잠재적 해결책

한 가지 잠재적인 해결책은 중간 인터넷 게이트웨이(즉, 주어진 패킷에 따르는 경로를 따라 상이한 네트워크를 연결하는 서버)의 사용을 이행하는 것을 포함한다.패킷을 처리하는 게이트웨이는 단순히 패킷을 완전히 무시하거나, 가능한 경우 잘못된 패킷이 거부되었다는 메시지를 송신자에게 다시 패킷을 보낼 수 있다.호스트 침입 방지 시스템(HIP)은 원하지 않거나 의심스러운 이벤트 및 침입을 식별, 방지 및/또는 방지하는 데 도움이 되는 기술 엔지니어링 애플리케이션의 한 예다.

수신 필터링을 구현하는 라우터는 수신하는 IP 패킷의 소스 IP 필드를 확인하고, 패킷이 인터페이스가 연결된 IP 주소 블록에 IP 주소가 없으면 패킷을 삭제한다.최종 호스트가 다중 호밍 상태이고 또한 중계 네트워크 트래픽을 전송하는 경우 이것은 가능하지 않을 수 있다.

수신 필터링에서 네트워크로 들어오는 패킷은 원래 IP 주소에서 패킷을 전송하지 않아야 하는 경우 필터링된다.엔드 호스트가 스텁 네트워크 또는 호스트인 경우, 라우터는 소스 IP, 개인 주소(RFC 1918), 가짜 주소 또는 인터페이스와 동일한 네트워크 주소를 가지고 있지 않은 모든 IP 패킷을 필터링해야 한다.^[2]

네트워크

네트워크 수신 필터링은 많은 인터넷 서비스 제공자들이 인터넷 트래픽의 IP 주소 스푸핑을 막기 위해 사용하는 패킷 필터링 기법이며, 따라서 인터넷 트래픽을 소스로 추적할 수 있게 함으로써 간접적으로 다양한 유형의 넷 남용과 싸우기 위해 사용된다.

네트워크 수신 필터링은 ISP의 상호 이익을 위해 ISP 간의 협력에 의존하는 좋은 이웃 정책이다.

네트워크 수신 필터링에 대한 최선의 현재 관행은 BCP 38과 84의 인터넷 엔지니어링 태스크포스에 의해 문서화되며, 각각 RFC 2827과 RFC 3704에 의해 정의된다.^[3]^[4]

BCP 84는 IP 연결의 업스트림 제공자들이 다운스트림 고객으로부터 그들의 네트워크에 진입하는 패킷을 필터링하고, 그 고객에게 할당되지 않은 소스 주소가 있는 패킷은 모두 폐기할 것을 권고한다.

이 정책을 구현하는 많은 가능한 방법들이 있다; 한 가지 공통적인 메커니즘은 고객에 대한 링크에서 역경로 전달을 가능하게 하는 것이다. 이것은 제공자의 고객 경로 알림에 대한 경로 필터링에 기초하여 이 정책을 간접적으로 적용할 것이다.

배치

2012년 현재, 한 보고서는 BCP 38 구축이 부족하다는 일반적인 견해와 달리, 인터넷의 약 80%가 이미 그들의 네트워크에 스푸핑 방지 패킷 필터링을 적용하고 있다고 제시하고 있다.^[5]

참고 항목

참조

^ Zhauniarovich, Yury; Dodia, Priyanka (June 2019). "Sorting the Garbage: Filtering Out DRDoS Amplification Traffic in ISP Networks". 2019 IEEE Conference on Network Softwarization (NetSoft). IEEE. doi:10.1109/netsoft.2019.8806653. ISBN 978-1-5386-9376-6.
^ 로버트 게젤터(1995) 허트, 보즈워스, 호이트(1995)의 인터넷 23장 보안 "컴퓨터 보안 핸드북, 제3판", 와일리, 섹션 23.6(b), 페이지 23-12, et seq.
^ Ferguson, P.; Senie, D. (May 2000). Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing. IETF. doi:10.17487/RFC2827. BCP 38. RFC 2827.
^ Baker, F.; Savola, P. (March 2004). Ingress Filtering for Multihomed Networks. IETF. doi:10.17487/RFC3704. BCP 84. RFC 3704.
^ Barry Greene (June 11, 2012). "Everyone should be deploying BCP 38! Wait, they are …". senki.org.

외부 링크

RFC 2827 - 네트워크 수신 필터링:IP 소스 주소 스푸핑(BCP 38)을 사용하는 서비스 거부 공격 차단
RFC 3704 다중 의료 네트워크용 수신 필터링(BCP 84)
Jay R. Ashworth. "BCP38.info".
IETF의 BCP 지수
라우팅 맨스

[1] Zhauniarovich, Yury; Dodia, Priyanka (June 2019). "Sorting the Garbage: Filtering Out DRDoS Amplification Traffic in ISP Networks". 2019 IEEE Conference on Network Softwarization (NetSoft). IEEE. doi:10.1109/netsoft.2019.8806653. ISBN 978-1-5386-9376-6.

[2] 로버트 게젤터(1995) 허트, 보즈워스, 호이트(1995)의 인터넷 23장 보안 "컴퓨터 보안 핸드북, 제3판", 와일리, 섹션 23.6(b), 페이지 23-12, et seq.

[3] Ferguson, P.; Senie, D. (May 2000). Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing. IETF. doi:10.17487/RFC2827. BCP 38. RFC 2827.

[4] Baker, F.; Savola, P. (March 2004). Ingress Filtering for Multihomed Networks. IETF. doi:10.17487/RFC3704. BCP 84. RFC 3704.

[5] Barry Greene (June 11, 2012). "Everyone should be deploying BCP 38! Wait, they are …". senki.org.

[1]

[2]

[3]

[4]

[5]

Search

수신 필터링

네임스페이스

더

목차

문제

잠재적 해결책

네트워크

배치

참고 항목

참조

외부 링크