本备忘录的状态
本文具体说明了一个为网络间交流的InternetBestCurrentPractices,并且要求为改进而
进行讨论和建议。此备忘录的贡献是有限的。
版权申明
Copyright(C)TheInternetSociety(1999).AllRightsReserved.
1.简介
路由器要求说明路由器必须接收和传输直接的广播。它也说明路由器MUST有一个选
择权散失了这个特征,并且这个选择MUST缺省答应接收和传输的直接广播。当直接的广
播有用时,他们的在网间中枢使用会出现隐含着在其它网络中的整个恶意攻击。
为路由器改变要求的缺省将帮助确定新的路由器连接到网络并且不会添加到已存在的
麻烦。
在本文中的要害字"MUST","MUSTNOT","REQUIRED","SHALL","SHALL
NOT","SHOULD",SHOULDNOT","RECOMMENDED","MAY","OPTIONAL"已经在
RFC2119中具体说明了。
2.讨论的问题
破坏性的否定服务攻击导致在过滤入口上的[2]的写。许多网络提供者和共享的网络认
可这种方法的是用来确保他们的的网络不是这类攻击的来源。
一个在SmurfAttacks[3]里的近代趋势是答应从外面的网络直接广播到目标网络,这些
系统叫做"SmurfAmplifiers"。
在入口过滤器的不断执行时即使是只见广播也要权力是保证限制这种攻击的最好办法。
网络服务提供者和共享网络治理者强烈要求保证他们的网络不受外面网络直接广播的
包的影响。
动态的IP[4]已经提供了在动态的节点的自动配置代理的使用中使用直接广播。虽然一
些执行支持这种特点,但不清楚它是否有用。能达到同样效果的其他方法在[5]里面具体说
明。这也许值得考虑在使用直接广播上排除语言就像作为在标准的路径上的动态IP过程一
样。
3.建议
路由器需求[1]被如下更新:
4.2.2.11(d)用(d){<Network-prefix>,-1}代替
直接广播——一个广播直接到达特定的网络名称。要害字MUSTNOT被作为源地址使
用。一个路由器的MAY要害字有一个配置选项答应它接收直接广播的包,然而这个选项的
要害字MUST被设为缺省,因此路由器MUSTNOT接收网络直接广播的包除非在结尾有特
定的配置。
第5.3.5.2部分的第二节被如下代替:
一个路由器MAY要害字有一个能在一个接口上接收network-prefix直接广播的选项并
且能够传输network-prefix-directedbroadcasts。这些选项的MUST缺省来模块化接收和模块
化传输network-prefix-directedbroadcasts。
4.安全问题
本文的目的是减少某一特定类型的服务否定攻击的功效。
5.参考书
[1]Baker,F.,"RequirementsforIPVersion4Routers",RFC1812,
June1995.
[2]Ferguson,P.andD.Senie,"IngressFiltering",RFC2267,January
1998.
[3]SeethepagesbyCraigHuegenat:
http://www.quadrunner.com/~chuegen/smurf.txt,andtheCERT
advisoryat:http://www.cert.org/advisories/CA-98.01.smurf.Html.
[4]Perkins,C.,"IPMobilitySupport",RFC2002,October1996.
[5]P.Calhoun,C.Perkins,"MobileIPDynamicHomeAddress
AllocationExtensions",WorkinProgress.
6.谢意
作者非常感谢Mindspring的BrandonRoss和Sun的GabrielMontengro。
7.作者地址
DanielSenie
AmaranthNetworksInc.
324StillRiverRoad
Bolton,MA01740
Phone:(978)779-6813
EMail:dts@senie.com
8.版权申明
Copyrigdocumentht(C)TheInternetSociety(1999).AllRightsReserved.
Thisandtranslationsofitmaybecopiedandfurnishedto
others,andderivativeworksthatcommentonorotherwiseeXPlainit
orassistinitsimplementationmaybeprepared,copied,published
anddistributed,inwholeorinpart,withoutrestrictionofany
kind,providedthattheabovecopyrightnoticeandthisparagraphare
includedonallsUChcopiesandderivativeworks.However,this
documentitselfmaynotbemodifiedinanyway,suchasbyremoving
thecopyrightnoticeorreferencestotheInternetSocietyorother
Internetorganizations,exceptasneededforthepurposeof
developingInternetstandardsinwhichcasetheproceduresfor
copyrightsdefinedintheInternetStandardsprocessmustbe
followed,orasrequiredtotranslateitintolanguagesotherthan
English.
Thelimitedpermissionsgrantedaboveareperpetualandwillnotbe
revokedbytheInternetSocietyoritssuccessorsorassigns.
Thisdocumentandtheinformationcontainedhereinisprovidedonan
"ASIS"basisandTHEINTERNETSOCIETYANDTHEINTERNETENGINEERING
TASKFORCEDISCLAIMSALLWARRANTIES,EXPRESSORIMPLIED,INCLUDING
BUTNOTLIMITEDTOANYWARRANTYTHATTHEUSEOFTHEINFORMATION
HEREINWILLNOTINFRINGEANYRIGHTSORANYIMPLIEDWARRANTIESOF
MERCHANTABILITYORFITNESSFORAPARTICULARPURPOSE.
