8.安全性的考虑
路径MTU发现机制可能造成两种服务拒绝攻击,两者都基于有恶意的一方发送伪造的数据报太大报文给一个因特网主机 。
在第一种攻击中,伪造的报文指明一个比实际PMTU小的多的PMTU 。因为受害主机不会设置PMTU估计值低于真正的最小值,所以这不会完全停止数据流,但是,在每一个数据报中可能只有8字节IP数据,所以传送数据的进展将非常慢 。
在另一种攻击中,伪造报文指示一个比真实值大的PMTU 。假如相信了这个值,当受害者发送将被路由器丢弃的数据报的时候,将可能导致临时阻塞 。在一个往返时间中,主机应该能发现它的错误(从那个丢弃数据报的路由器中接收数据报太大报文而得知),但是这种攻击频繁重复可能导致许多数据报被丢弃 。然而,主机不会基于数据报太大报文来提高它对PMTU的估计值,所以也不会轻易受到这种攻击 。
假如恶意的一方阻止受害者接收合法的数据报太大报文,也会产生问题,但是在这种情况下,仅可用较简单的服务拒绝攻击 。
参考书目:
[1]R.Braden,ed.RequirementsforInternetHosts--Communication
Layers.RFC1122,SRINetworkInformationCenter,October,1989.
[2]GeofCooper.IPDatagramSizes.Electronicdistributionofthe
TCP-IPDiscussionGroup,Message-ID
<8705240517.AA01407@apolling.imagen.uucp>.
[3]ISO.ISOTransportProtocolSpecification:ISODP8073.RFC905,
SRINetworkInformationCenter,April,1984.
[4]VanJacobson.CongestionAvoidanceandControl.InProc.SIGCOMM
"88SymposiumonCommunicationsArchitecturesandProtocols,pages
314-329.Stanford,CA,August,1988.
[5]C.KentandJ.Mogul.FragmentationConsideredHarmful.InProc.
SIGCOMM"87WorkshoponFrontiersinComputerCommunications
Technology.August,1987.
[6]DrewDanielPerkins.PrivateCommunication.
[7]J.Postel.InternetControlMessageProtocol.RFC792,SRI
NetworkInformationCenter,September,1981.
[8]J.Postel.InternetProtocol.RFC791,SRINetworkInformation
Center,September,1981.
[9]J.Postel.TheTCPMaximumSegmentSizeandRelatedTopics.RFC
879,SRINetworkInformationCenter,November,1983.
[10]MichaelReilly.PrivateCommunication.
[11]SunMicrosystems,Inc.RPC:RemoteProcedureCallProtocol.RFC
1057,SRINetworkInformationCenter,June,1988.
作者地址:
JeffreyMogul
DigitalEquipmentCorporationWesternResearchLaboratory
100HamiltonAvenue
PaloAlto,CA94301
Phone:(415)853-6643
EMail:mogul@decwrl.dec.com
SteveDeering
XeroxPaloAltoResearchCenter
3333CoyoteHillRoad
PaloAlto,CA94304
Phone:(415)494-4839
EMail:deering@xerox.com
推荐阅读
- 最大分段 小议TCP的MSS以及MTU
- Z710c的r1jc002版本软件的新发现
- vivox23幻彩版怎么去掉照片水印
- P768暂时发现的不足和我的感觉
- 关注P768真机以来,发现的几个缺点!
- 联想z6怎么修改照片存储路径
- TCP的路径MTU发现问题
- 美颜相机中打马赛克具体操作流程
- 关于p768的功能和待机时间
- 世界上最长的蚯蚓是在哪里发现的