Chương 6: Vấn đề bảo mật và chất lượng dịch vụ MPLS/VPN
6.1.2 2 Mạng lõi MPLS bị tấn công như thế nào
Theo lý thuyết, một bộ định tuyến PE có thể bị tấn công hoặc bởi một luồng lưu lượng chuyển tiếp (có nghĩa là mục đích lưu lượng được đưa đến một PE khác) hoặc chính bởi luồng lưu lượng mà đích là PE này.
Luồng lưu lượng chuyển tiếp thường ít ảnh hưởng bởi vì các bộ định tuyến được thiết kế để chuyển tiếp gói tin một cách nhanh nhất. Dĩ nhiên, một bộ định tuyến phải có có khả năng kiểm soát luồng lưu lượng chuyển tiếp. Tuy nhiên, có một số dạng gói tin không thể kiểm soát bởi phần cứng và có thể làm tăng tải trên tuyến. Vì thế, nếu có nhiều gói tin kiểu thế này có thể dẫn đến tình huống DoS trên tuyến đó.
Các gói tin với lựa chọn IP (IP options) là một ví dụ. Một gói tin với lựa chọn IP có độ dài tiêu đề thay đổi và vì thế không thể tra cứu trên ASICs (microchips). Có nghĩa là các gói tin với lựa chọn IP có thể được chuyển mạch bằng phần mềm, điều này làm cho hiệu suốt của bộ định tuyến giảm đi.
Với luồng lưu lượng nhận được, tức là đích đến chính là PE này, thì cần phải quan tâm hơn bởi vì nó ảnh hưởng trực tiếp lên PE. Có hai dạng tấn công là :
DoS – Trong trường hợp này, hacker có gắng sử dụng hết tất cả tài nguyên trên bộ định tuyến PE. Điều này có thể thực hiện được bằng cách gửi nhiều gói tin update cho bộ định tuyến, các bộ nhớ sẽ bị sử dụng hết.
Intrusion – Hacker thử sử dụng một kênh hợp lệ để cấu hình bộ định tuyến PE. Ví dụ dùng telnet hoặc SSH port hoặc SNMP để cấu hình lên bộ định tuyến