Baza wiedzy

W ostatnich latach, liczne anomalie w warstwie sterowania routingiem, takie jak przechwytywanie (hijacking) prefiksów protokołu i wycieki tras, powodowało odmowę świadczenia usługi (DoS), niepożądane zmiany ruchu danych i spadki wydajności. Częste były również wielkoskalowe rozproszone ataki odmowy usług (DDoS) na serwery przy użyciu fałszywych adresów IP i ataki typu „odbicie-wzmocnienie” (reflection-amplification) w płaszczyźnie danych, co powodowało znaczne zakłócenia usług i wyrządzało szkody.

Publikacja NSC 800-189, Odporność wymiany ruchu międzydomenowego - bezpieczeństwo BGP i ograniczanie DDoS, zawiera wskazówki techniczne i zalecenia dotyczące technologii ułatwiających odporną wymianę ruchu międzydomenowego (Resilient Interdomain Traffic Exchange - RITE). Zalecane w tym dokumencie technologie obejmują infrastrukturę zasobów klucza publicznego (Resource Public Key Infrastructure - RPKI), walidację pochodzenia BGP (Border Gateway Protocol Origin Validation - BGP-OV) i filtrowanie prefiksów. Opisane w publikacji technologie, zalecane do łagodzenia ataków DoS i DDoS, obejmują zapobieganie spoofingowi adresów IP przy użyciu walidacji adresów źródłowych z listami kontroli dostępu (Access Control List - ACL) i mechanizmu uRPF (unicast Reverse Path Forwarding). Wśród ogólnych mechanizmów bezpieczeństwa publikacja odnosi się także do technologii zdalnego wyzwalania filtrowania czarnych dziur (Remotely Triggered Black Hole - RTBH), specyfikacji przepływu (Flow Specification -Flowspec) i ograniczaniu szybkości odpowiedzi (Response Rate Limiting - RRL).

Zalecenia zmniejszają ryzyko przypadkowych ataków (spowodowanych przez błędną konfigurację) i złośliwych ataków w płaszczyźnie sterowania routingu, a także pomagają wykrywać i zapobiegać spoofingowi adresów IP i wynikającym z niego atakom typu DoS/DDoS.