Hạn chế chiều dài AS_Path

Một phần của tài liệu Nghiên cứu các vấn đề bảo mật trên giao thức BGP (Trang 30 - 31)

AS_Path là thuộc tính gắn liền với quảng cáo tuyến chứa danh sách các hệ thống tự trị mà cần phải đi qua để đạt NLRI (thông tin đến lớp mạng) đƣợc quảng cáo trong bản tin cập nhật. Thuật toán tuyến BGP là nhìn vào chiều dài AS_Path và tuyến có chiều dài AS_Path ngắn hơn thì đƣợc ƣu tiên hơn. BGP cho phép làm AS_Path dài hơn bằng cách lặp đi lặp lại cùng một số AS nhiều lần trong thuộc tính AS_Path. Kỹ thuật này đƣợc sử dụng bởi một số ISP để làm cho một số tuyến đƣợc ƣu tiên hơn những tuyến khác, tức là đạt đƣợc mục tiêu kỹ thuật về luồng thông tin. Một tổ chức có thể lặp lại số AS của mình trong thuộc tính AS_Path để làm cho nó dài hơn, theo cách này mục tiêu kỹ thuật luồng thông tin có thể đạt đƣợc mà không ảnh hƣởng đến chức năng chống vòng lặp của thuộc tính AS_Path.

Hình 6. Độ dài AS_Path

Ví dụ nhƣ trong hình 6 ở trên, bộ định tuyến A trong AS 10 gửi quảng cáo đến B và C về địa chỉ mạng 20.20.20.20/16. Tuy nhiên, quảng cáo gửi đến B có số AS 10 đƣợc liệt kê trong thuộc tính AS_Path, trong khi quảng cáo gửi đến C có số AS 10 đƣợc liệt kê bốn lần trong thuộc tính AS_Path. Bây giờ phần còn lại của tuyến tiếp nhận internet tới địa chỉ 20.20.20.20/16 từ cả B và C sẽ luôn luôn ƣu tiên các tuyến đƣờng đi qua B do chiều dài AS_Path của nó ngắn hơn.

Nhƣng phải cẩn thận trong khi gắn AS_Path vì trong lịch sử đã có một số vấn đề nảy sinh từ hậu quả thao tác thuộc tính này. Các nhà cung cấp bộ định tuyến khác nhau có cách cấu hình khác nhau và dung sai khác nhau trong giới hạn tối đa AS-Limit. Ví dụ trong một cuộc tấn công, một nhà cung cấp có cách cấu hình dễ bị tổn thƣơng, lặp lại trong thuộc tính AS_Path dẫn đến hậu quả trong chính AS_Path đó: thuộc tính rất dài này, khi quảng cáo cho các nhà cung cấp khác, sẽ khai thác nhiều lỗ hổng trong các nhà cung cấp IOS khác vì hệ điều hành của họ đã không đƣợc xử lý AS_Path nhƣ vậy.

Vì vậy cần phải cẩn thận khi cấu hình các AS_Path và giới hạn nên đƣợc áp đặt để AS_Path dài hơn sẽ bị từ chối theo mặc định.

Một phần của tài liệu Nghiên cứu các vấn đề bảo mật trên giao thức BGP (Trang 30 - 31)

Tải bản đầy đủ (PDF)

(114 trang)