Was ist der Zweck der BGP-TTL-Sicherheit?


14

Gegen welche Angriffsvektoren schützt der BGP TTL-Sicherheitsknopf?


2
Warum eine Frage stellen und dann sofort beantworten?
Smithian

3
Ich fand es komisch, sah das bei einigen anderen Fragen. Sah es nach und anscheinend ist es allgemein anerkannt. Zumindest wenn jemand anderes eine bessere Antwort hat, kann er höher bewertet werden. SE Blog Post über die Beantwortung eigener Fragen
Mat Wood

2
Wir können das zu Meta machen (und vielleicht sollten wir das), aber im Allgemeinen können (und sollten wir das!) Sie tun, wenn Sie 1) selbst etwas erlebt haben, von dem Sie glauben, dass andere daraus lernen könnten (F und A) und 2) es ist von entscheidender Bedeutung Beta-Sites mit guten Fragen und Antworten im Voraus 'vorbereiten', damit sie in Zukunft gute Fragen und Antworten anziehen. Weitere Follow-ups auf meta.NE, bitte ...
Aaron

Hat dir eine Antwort geholfen? In diesem Fall sollten Sie die Antwort akzeptieren, damit die Frage nicht für immer auftaucht und nach einer Antwort sucht. Alternativ können Sie auch Ihre eigene Antwort eingeben und annehmen.
Ron Maupin

Antworten:


13

Durch die BGP-TTL-Sicherheit akzeptiert Ihr Router nur Pakete mit einer sehr hohen TTL-Nummer (normalerweise 254). Da die TTL bei jedem Weiterleiten eines Pakets verringert wird, können Sie dies nur von einem direkt verbundenen Nachbar-Router erhalten, wenn Sie diese Funktion auf beiden Nachbarn konfigurieren Paket.


Ich werde dies als Kommentar hinzufügen: packetlife.net/blog/2009/nov/23/understanding-bgp-ttl-security, da es es auch mit einigen hübschen Bildern erklärt.
Nr.

3

Wenn Sie zum Beispiel einen Wert von 5 in der tt-Sicherheitsfunktion konfigurieren, zieht der Router 5 von 255 ab, sodass er nur eine IP-TTL größer oder gleich 255 abzüglich des konfigurierten Werts akzeptiert.

Das bedeutet also nicht, dass nur ein direkt verbundener Router akzeptiert wird. Es werden Angriffe durch Hosts vermieden, die die TTL in der TCP-Sitzung manipulieren.


5
Dies scheint eine Antwort auf Aarons Antwort zu sein. Eine Antwort sollte alleine stehen (dies ist kein Forum).
Tanner Faulkner
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.