khác
Kịch bản:
Kịch bản này sảy ra đối với thuê bao sử dụng dịch vụ Broadcast TV
Hacker ở phía STB của thuê bao gửi tới IP DSLAM / Access Switch bản tin IGMP Leave giả mạo của một thuê bao khác cũng đang xem kênh chương trình Multicast như của Hacker.
Thuê bao sẽ bị ngắt kết nối phiên Multicast và không xem được nội dung chương trình.
Hình 4- 7: Nguy cơ Gửi bản tin IGMP Leave giả mạo làm ngắt phiên Multicast của thuê bao khác
Giải pháp:
IP DSLAM/ Access-Switch Cần cấu hình kiểm tra xác thực trong các bản tin IGMP
4.2.1.13. Gửi bản tin PIM-SSM giả mạo tới các Router có chức năng Multicast (MRouter)
Kịch bản:
Bằng cách gửi bản tin truy vết nội dung hoặc bản tin ICMP Echo Request đến máy chủ cung cấp nội dung Viddeo (VoD Server), Hacker có thể biết được địa chỉ IP trên các giao diện của các Router thực thi chức năng Multicast (MRouter).
Hacker ở phía STB của thuê bao gửi tới các MRouter bản tin PIM-SSM với mục đich làm thay đổi cách tổ chức cây Multicast theo cây nguồn ngắn nhất (Shortest Path Tree, SPT) từ VoD Server đến các Router nút lá trong cây Multicast.
Việc sử dụng giao thức UDP (Unit Datagram Protocol) làm giao thức truyền tải cho lưu lượng Multicast có thể dẫn đến các ảnh hưởng phụ không mong muốn (các gói tin có thể bị hủy) so với các ứng dụng Unicast tương tự dựa trên TCP (Transport Control Protocol), các gói tin trùng có thể được tạo ra khi Topology mạng Multicast bị thay đổi. Nếu việc này thành công, lưu lượng Multicast có thể sẽ bị thay đổi
Giải pháp 1:
Cấu hình chức năng lọc bản tin PIM-SSM của các láng giềng lân cận (PIM Neighbor Filtering) trên các giao diện của MRouter để ngăn chặn các Router không thuộc miền Multicast tham gia chuyển tiếp bản tin giao thức định tuyến PIM
Bảo vệ tài nguyên CPU trên các MRouter khi có nhiều phiên Multicast yêu cầu tiến trình đăng ký PIM tại cùng một thời điểm (PIM Register Rate Limiting). Giải pháp 2:
Cấu hình kiểm tra xác thực trong các bản tin thuộc giao thức định tuyến PIM- SSM tại MRouter bằng mã hoá xác thực thông báo MD5.