Tính năng lọc xâm nhập được mô tả trong RFC2827 có được triển khai trong hầu hết các bộ định tuyến không? Làm thế nào để thực hiện như vậy trông như thế nào?

John Smith

19:55, 26/09/2023

RFC 2827 mô tả ý tưởng lọc đầu vào có nghĩa là để đối phó với các cuộc tấn công DOS sử dụng giả mạo IP:

Bộ lọc lưu lượng đầu vào trên liên kết đầu vào (đầu vào) của "bộ định tuyến 2", cung cấp kết nối với mạng của kẻ tấn công, hạn chế lưu lượng để cho phép chỉ lưu lượng truy cập bắt nguồn từ các địa chỉ nguồn trong 204.69.207.0/24 và cấm kẻ tấn công sử dụng địa chỉ nguồn "không hợp lệ" nằm ngoài phạm vi tiền tố này.

Bộ lọc như vậy có được triển khai trong mọi bộ định tuyến mà phần sụn như hỗ trợ openWRT? Có ai tốt bụng như vậy không và cung cấp cho tôi thông tin liên quan đoạn mã cung cấp cho quá trình lọc như vậy. Đã bao giờ có một tài liệu trường hợp một cuộc tấn công sử dụng giả mạo IP cùng với một chỉnh sửa trong phần sụn của bộ định tuyến của kẻ tấn công cho phép thiếu bộ lọc nói trên.

0 + 0

phần sụn

công khai

lọc lưu lượng truy cập

Ron Maupin

13:54, 27/09/2023

RFC đó là "Phương pháp tốt nhất hiện tại" không phải là RFC "Đường đua tiêu chuẩn". Đây không phải là yêu cầu trong _[RFC 1812, Yêu cầu đối với bộ định tuyến IP phiên bản 4](https://www.rfc-editor.org/rfc/rfc1812.html)_.

Hồi đáp

Điểm:2

Server

vidarlo

21:02, 26/09/2023

Bộ lọc như vậy có được triển khai trong mọi bộ định tuyến mà phần sụn như openWRT hỗ trợ không?

Không phải mọi bộ định tuyến đều hỗ trợ ACLS. Nhiều người làm và để lọc theo địa chỉ nguồn, một ACL đơn giản là đủ. Bạn không cần phải hỗ trợ lọc trạng thái, vì vậy việc triển khai sẽ rẻ. Nhưng không có yêu cầu vốn có trong IP mà các bộ định tuyến hỗ trợ lọc.

Vì Drop traffic thường là chính sách mặc định cho tường lửa, điều này có thể đạt được một cách đơn giản với giấy phép khớp với các địa chỉ nguồn mong muốn. Lưu lượng truy cập không phù hợp với quy tắc đó sẽ bị loại bỏ theo chính sách mặc định nếu điều đó bị loại bỏ.

0 + 0

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: Is ingress filtering described in RFC2827 implemented in most routers? How does such implementation look like?

TH: มีการกรองข้อมูลขาเข้าที่อธิบายไว้ใน RFC2827 ในเราเตอร์ส่วนใหญ่หรือไม่ การดำเนินการดังกล่าวมีลักษณะอย่างไร

RO: Este filtrarea de intrare descrisă în RFC2827 implementată în majoritatea routerelor? Cum arată o astfel de implementare?

RU: В большинстве маршрутизаторов реализована входная фильтрация, описанная в RFC2827? Как выглядит такая реализация?

VI: Tính năng lọc xâm nhập được mô tả trong RFC2827 có được triển khai trong hầu hết các bộ định tuyến không? Làm thế nào để thực hiện như vậy trông như thế nào?

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.