Ters yol yönlendirme - Reverse-path forwarding

Ters yol yönlendirme (RPF) modernde kullanılan bir tekniktir yönlendiriciler döngü içermeyen iletimini sağlamak amacıyla çok noktaya yayın içindeki paketler çok noktaya yayın yönlendirme ve önlemeye yardımcı olmak için IP adresi sahtekarlığı içinde tek noktaya yayın yönlendirme.

Standart tek noktaya yayın IP yönlendirmesinde, yönlendirici, dağıtım ağacı boyunca ilerleme kaydetmek ve yönlendirme döngülerini önlemek için paketi kaynaktan uzağa iletir. Bunun tersine, yönlendiricinin çoklu yayın yönlendirme durumu, alıcıdan çok noktaya yayın kaynağındaki dağıtım ağacının köküne kadar ters yola dayalı tablolar düzenleyerek daha mantıklı çalışır. Bu yaklaşım, ters yol iletme olarak bilinir.

Çok noktaya yayın RPF

Tipik olarak basitçe RPF olarak adlandırılan çok noktaya yayın RPF, aşağıdaki gibi bir çok noktaya yayın yönlendirme protokolüyle birlikte kullanılır. Çok Noktaya Yayın Kaynak Bulma Protokolü veya Protokolden Bağımsız Çok Noktaya Yayın çok noktaya yayın paketlerinin döngüsüz iletilmesini sağlamak için. Çok noktaya yayın yönlendirmede, trafiği iletme kararı, tek noktaya yayın yönlendirmedeki gibi hedef adresine değil, kaynak adresine dayanır. Bunu, özel bir çok noktaya yayın yönlendirme tablosunu veya alternatif olarak yönlendiricinin tek noktaya yayın yönlendirme tablosunu kullanarak yapar.

Bir çok noktaya yayın paketi bir yönlendiricinin arayüzüne girdiğinde, yönlendirici bu arayüz aracılığıyla erişilebilen ağların listesini arar (yani, paketin ulaşmış olabileceği yolları kontrol eder). Yönlendirici, çok noktaya yayın paketinin kaynak IP adresi için eşleşen bir yönlendirme girişi bulursa, RPF kontrolü geçer ve paket, bu çok noktaya yayın grubuna katılan diğer tüm arabirimlere iletilir. RPF kontrolü başarısız olursa, paket düşer. Sonuç olarak, paketin iletilmesine, ileri yol yerine paketin ters yoluna dayalı olarak karar verilir. Sadece arayüze gelen ve aynı zamanda paketin kaynağı için yönlendirme girişini tutan paketleri ileterek döngüler önlenir.

Bu, yedekli çok noktaya yayın topolojilerinde çok önemlidir. Aynı çok noktaya yayın paketi, birden çok arayüz aracılığıyla aynı yönlendiriciye ulaşabileceğinden, RPF kontrolü, paketleri iletme veya iletmeme kararının ayrılmaz bir parçasıdır. Yönlendirici, A arabiriminde gelen tüm paketleri arabirim B'ye iletirse ve aynı zamanda arabirim B'den gelen tüm paketleri arabirim A'ya iletirse ve her iki arabirim de aynı paketi alırsa, bu bir yönlendirme döngüsü paketlerin IP'lerine kadar her iki yönde iletileceği TTL'ler süresi dolmak. Yönlendirme döngüleri, ağ kaynaklarını gereksiz yere tükettikleri için en iyi şekilde önlenir.

Bir RPF kontrolünün altında yatan varsayımlar şudur:

  1. tek noktaya yayın yönlendirme tablosu doğru ve kararlıdır ve
  2. göndericiden yönlendiriciye kullanılan yol ve yönlendiriciden göndericiye giden ters yol simetriktir.

İlk varsayım yanlışsa, RPF denetimi başarısız olur çünkü bu, geri dönüş olarak yönlendiricinin tek noktaya yayın yönlendirme tablosuna bağlıdır. İkinci varsayım yanlışsa, RPF kontrolü, göndericiden yönlendiriciye giden en kısa yol dışındaki tüm çoklu yayın trafiğini reddeder ve bu da optimal olmayan bir çok noktaya yayın ağacına yol açar. Bağlantıların tek yönlü olduğu durumlarda, ters yol yaklaşımı tamamen başarısız olabilir.

Tek noktaya yayın RPF

Tek noktaya yayın RPF (uRPF), içinde tanımlandığı gibi RFC 3704, bilinen geçersiz ağlardan gelen trafiğin asla kaynaklanmaması gereken arayüzlerde kabul edilmemesi gerektiği kavramının bir evrimidir. Görüldüğü gibi orijinal fikir RFC 2827 sahte IP adreslerinden kaynaklanıyorsa bir arabirimdeki trafiği engellemekti. Pek çok kuruluş için, açıkça kullanımda olmadıkları sürece özel adreslerin ağlarında yayılmasına izin vermemesi makul bir varsayımdır. Açıkça sahte kaynak adreslerinden gelen paketleri engellemek, yaygın olarak kullanılan IP adresi sahtekarlığını azaltmaya yardımcı olduğundan, bu, İnternet omurgası için büyük bir avantajdır. DoS, DDoS ve taramanın kaynağını gizlemek için ağ taraması.

uRPF, bu fikri, tüm yönlendiricilerin sahip olması gereken bilgileri kullanarak genişletir. yönlendirme bilgi tabanı (RIB) veya yönlendirme bilgi tabanı (FIB) bir arayüzde görülmesi gereken olası kaynak adreslerini daha fazla kısıtlamaya yardımcı olmak için birincil işlerini yapmak. Paketler, yalnızca bir yönlendiricinin en iyi yolundan bir paketin kaynağına doğru geliyorlarsa iletilir. Bir arayüze gelen paketler, yönlendirme tablosundaki karşılık gelen girişte belirtildiği gibi, geçerli alt ağlardan gelir. Gönderebilecek kaynak adresli paketler değil Giriş arabirimi aracılığıyla ulaşılmaları, muhtemelen yanlış yapılandırılmış veya kötü amaçlı bir kaynaktan geldiklerinden, kesintiye uğramadan normal kullanıma bırakılabilir.

Simetrik yönlendirme, paketlerin aynı yoldan her iki yönde aktığı yönlendirme ve tek bir bağlantı yoluyla bağlanan uçbirim ağları durumlarında, bu güvenli bir varsayımdır ve uRPF, birçok beklenen sorun olmadan uygulanabilir. URPF'yi gerçek trafik kaynağına olabildiğince yakın kullanmak, bant genişliğini kullanma veya RPF için yapılandırılmamış ve dolayısıyla uygun olmayan bir şekilde iletilmiş bir yönlendiriciye ulaşma şansı olmadan önce sahte trafiği de durdurur.

Ne yazık ki, daha büyük İnternet omurgasında, yönlendirmenin asimetrik olduğu ve yönlendirme tablolarının, bir kaynağın bir yönlendiriciye ulaşması için en iyi yolu göstermesine güvenilemediği durumdur. Yönlendirme tabloları en iyi ileri yolu belirtir ve yalnızca simetrik durumda bunu en iyi ters yola eşitler. URPF'yi uygularken, yasal trafiğin yanlışlıkla filtrelenmesini önlemek için asimetri potansiyelinin farkında olmak önemlidir.

RFC 3704 en azından biraz asimetriye izin verirken yine de yararlı olabilecek bazı daha rahat durumları içerecek şekilde katı ters yol yönlendirmenin nasıl genişletileceğine dair daha fazla ayrıntı verir.

Katı mod

Katı modda, gelen her paket FIB'ye karşı test edilir ve eğer gelen arabirim en iyi ters yol değilse, paket kontrolü başarısız olur. Varsayılan olarak başarısız olan paketler atılır.[a]

Uygulanabilir mod

Uygulanabilir modda, FIB belirli bir IP adresine alternatif yollar sağlar. Eğer gelen arabirim, IP adresiyle ilişkili herhangi bir yolla eşleşir, ardından paket iletilir. Aksi takdirde paket düşürülür.

Gevşek mod

Gevşek modda, her gelen paketin kaynak adresi FIB'ye karşı test edilir. Paket, yalnızca kaynak adresine şu yolla ulaşılamadığında bırakılır. hiç yönlendiricideki arabirim.[a]

Filtreleme ve yönlendirme

RPF genellikle ters yol olarak yorumlanır süzme, özellikle tek noktaya yayın yönlendirme söz konusu olduğunda. Bu, kısaltmanın anlaşılır bir alternatif yorumudur, çünkü RPF, tek noktaya yayın yönlendirme ile kullanıldığında, RFC 3704 RPF kontrolünün başarılı veya başarısız olmasına bağlı olarak trafiğe izin verilir veya trafik reddedilir. RPF kontrolünde başarısız olursa trafiğin reddedildiği ve dolayısıyla filtrelendiği düşüncesi. URPF bir giriş olarak kullanılırken süzme mekanizma, ters yoldan etkilenir yönlendirme.

Ters yol filtrelemeyle karşılaştırma

Ters yol filtreleri genellikle bir IP uygulamasının farklı bir gelen ve giden yönlendirme yoluna sahip olduğu durumlarda asimetrik yönlendirmeyi devre dışı bırakmak için kullanılır. Ters yol filtreleme, bir Linux Kernel özelliğidir. Bu nedenle temel işlevsellik, bir arabirimden diğer arabirimler üzerinden çıkan paket girişini önlemektir. Ters Yol Filtreleme, Linux çekirdeği,[1] ancak ters yol iletme, IP protokolüdür çok noktaya yayın yönlendirme.[1][2]

Ayrıca bakınız

Notlar

  1. ^ a b Cisco cihazlarında örnek komut: ip tek noktaya yayın kaynağına erişilebildiğini doğrulayın - {rx} - Katı mod, {herhangi} - gevşek mod

Referanslar

  1. ^ a b professional Linux- 1 Mayıs 2018:rp_filter ve LPIC-3 Linux Güvenliği | profesyonel Linux yazılım geliştirme
  2. ^ CISCO Security Research & Operations - 3 Haziran 2015:Tek Noktaya Yayın Ters Yol İletmeyi Anlama | Cisco -unicast-ters-yol-yönlendirme

Dış bağlantılar