Jaki jest cel bezpieczeństwa BGP TTL?

14

Przed którymi wektorami ataku chroni pokrętło bezpieczeństwa BGP TTL?

Aaron
źródło
2
Po co zadawać pytanie, a następnie natychmiast na nie odpowiadać?
smithian
3
Myślałem, że to dziwne. Widziałem to w kilku innych kwestiach. Spojrzał na to i najwyraźniej jest to ogólnie akceptowane. Przynajmniej jeśli ktoś inny ma lepszą odpowiedź, może być wyżej oceniony. SE Blog Post na temat odpowiadania na własne pytania
Mat Wood
2
Możemy zabrać to do meta (a może powinniśmy), ale ogólnie rzecz biorąc możesz (i powinniśmy!) To zrobić, jeśli 1) sam doświadczyłeś czegoś, z czego inni mogliby się uczyć (Q i A) i 2) Jest to niezwykle ważne do „najlepszych” stron beta z dobrymi pytaniami i odpowiedziami z wyprzedzeniem, aby przyciągały dobre pytania i odpowiedzi w przyszłości .. więcej dalszych działań na meta.NE, proszę ...
Aaron
Czy jakaś odpowiedź ci pomogła? jeśli tak, powinieneś zaakceptować odpowiedź, aby pytanie nie wyskakiwało wiecznie, szukając odpowiedzi. Alternatywnie możesz podać i zaakceptować własną odpowiedź.
Ron Maupin

Odpowiedzi:

13

Zabezpieczenia BGP TTL sprawiają, że router akceptuje tylko pakiety, które mają bardzo wysoki numer TTL, zwykle 254. Ponieważ TTL jest zmniejszane za każdym razem, gdy pakiet jest trasowany, skonfigurowanie tej funkcji na obu sąsiadach gwarantuje, że tylko bezpośrednio podłączony router sąsiedni mógłby ci to wysłać paczka.

Aaron
źródło
Dodam to jako komentarz: packetlife.net/blog/2009/nov/23/understanding-bgp-ttl-security, ponieważ wyjaśnia to również za pomocą kilku ładnych zdjęć.
nos
3

Podczas konfigurowania na przykład wartości 5 w funkcji tt-security router odejmuje 5 od 255, więc akceptuje tylko TTL IP większy lub równy 255 minus skonfigurowana wartość.

Tak naprawdę nie oznacza to, że akceptuje tylko router podłączony bezpośrednio. Unika ataków hosta manipulującego TTL w sesji TCP.

GFCISCO
źródło
5
To wydaje się być odpowiedzią na odpowiedź Aarona. Odpowiedź powinna być samodzielna (to nie jest forum).
Tanner Faulkner