Como atenuar os ataques de fragmentação de IP antes da remontagem quando as informações de autenticação estão disponíveis?

2

Estou tentando filtrar o tráfego de entrada para alta largura de banda, rede de baixa latência, para atenuar o DDOS. O tráfego de entrada é o UDP personalizado (estou configurando as especificações do protocolo para que eu possa forçar os cabeçalhos de IP, se necessário). Sobre o qual algum token de autenticação pode ajudar a descartar o tráfego falsificado. Aceito apenas tráfego autenticado (os tokens de autenticação de uso único são obtidos pelo canal lateral).

Se eu definir o sinalizador de cabeçalho IP "Não fragmentar" como ON, acho que estou OK, pois agora posso confiar no meu token de autenticação para filtrar o tráfego.

Gostaria de saber como posso tratar pacotes adequadamente fragmentados. Especialmente contra antigos ataques de fragmentos IP como "rose" e "new dawn". Nesses ataques, porque recebo apenas um fragmento, não consigo usar o token de autenticação para determinar se o tráfego está correto ou não até que todos os fragmentos sejam reagrupados.

Primeiro pensei que o IPSec seria OK, mas depois de uma rápida olhada no wikipedia, parece-me que os cabeçalhos AH só são obtidos após a remontagem (corrija-me por favor se estiver errado), então ainda estamos enfrentando o mesmo problema.

Eu acho que seria tecnicamente possível adicionar meu auth-token como um campo de opção de cabeçalho de IP (com o bit mais significativo do conjunto de cópias para que seja copiado para todos os fragmentos), mas não sei se é uma boa prática e como os roteadores externos (antes que os pacotes cheguem à minha rede) manipularão esses pacotes.

De maneira ideal antes de chegar às máquinas endpoint, os pacotes passarão por uma rede de switches de software (Nível 2 do OSI), onde gostaria de definir minhas regras personalizadas, por isso prefiro filtrar antes da remontagem de pacotes IP.

    
por darkblue 08.06.2014 / 15:15

0 respostas