W celu świadczenia usług na najwyższym poziomie stosujemy pliki cookies. Korzystanie z naszej witryny oznacza, że będą one zamieszczane w Państwa urządzeniu. W każdym momencie można dokonać zmiany ustawień Państwa przeglądarki. Zobacz politykę cookies.
Powrót

Jak zmniejszyć ryzyko przypadkowych i złośliwych ataków przy sterowaniu routingiem oraz jak wykrywać i zapobiegać spoofingowi adresów IP i wynikającym z niego atakom typu DoS/DDoS?

22.12.2023

Kolejna publikacja z serii Narodowych Standardów Cyberbezpieczeństwa (NSC) zawiera praktyczne wskazówki dotyczące bezpieczeństwa sterowania ruchem międzydomenowym, zapobiegania spoofingowi adresów IP oraz niektórych aspektów wykrywania i ograniczania ataków DoS/DDoS.

Obrys otwartej książki na niebieskim tle cyferek i znaków

Jak zmniejszyć ryzyko przypadkowych i złośliwych ataków przy sterowaniu routingiem oraz jak wykrywać i zapobiegać spoofingowi adresów IP i wynikającym z niego atakom typu DoS/DDoS?

W ostatnich latach, liczne anomalie w warstwie sterowania routingiem, takie jak przechwytywanie (hijacking) prefiksów protokołu i wycieki tras, powodowało odmowę świadczenia usługi (DoS), niepożądane zmiany ruchu danych i spadki wydajności. Częste były również wielkoskalowe rozproszone ataki odmowy usług (DDoS) na serwery przy użyciu fałszywych adresów IP i ataki typu „odbicie-wzmocnienie” (reflection-amplification) w płaszczyźnie danych, co powodowało znaczne zakłócenia usług i wyrządzało szkody.

Publikacja NSC 800-189, Odporność wymiany ruchu międzydomenowego - bezpieczeństwo BGP i ograniczanie DDoS, zawiera wskazówki techniczne i zalecenia dotyczące technologii ułatwiających odporną wymianę ruchu międzydomenowego (Resilient Interdomain Traffic Exchange - RITE). Zalecane w tym dokumencie technologie obejmują infrastrukturę zasobów klucza publicznego (Resource Public Key Infrastructure - RPKI), walidację pochodzenia BGP (Border Gateway Protocol Origin Validation - BGP-OV) i filtrowanie prefiksów. Opisane w publikacji technologie, zalecane do łagodzenia ataków DoS i DDoS, obejmują zapobieganie spoofingowi adresów IP przy użyciu walidacji adresów źródłowych z listami kontroli dostępu (Access Control List - ACL) i mechanizmu uRPF (unicast Reverse Path Forwarding). Wśród ogólnych mechanizmów bezpieczeństwa publikacja odnosi się także do technologii zdalnego wyzwalania filtrowania czarnych dziur (Remotely Triggered Black Hole - RTBH), specyfikacji przepływu (Flow Specification -Flowspec) i ograniczaniu szybkości odpowiedzi (Response Rate Limiting - RRL).

Zalecenia zmniejszają ryzyko przypadkowych ataków (spowodowanych przez błędną konfigurację) i złośliwych ataków w płaszczyźnie sterowania routingu, a także pomagają wykrywać i zapobiegać spoofingowi adresów IP i wynikającym z niego atakom typu DoS/DDoS.

{"register":{"columns":[]}}