Яка мета безпеки BGP TTL?

Від яких векторів нападу захищає регулятор безпеки BGP TTL?

bgp security

— Аарон
джерело

Навіщо ставити питання, а потім негайно відповідати на нього?

— коваль

Я думав, що це дивно, бачив, що відбувається в деяких інших питаннях. Подивився і, мабуть, це загальновизнано. Принаймні, якщо хтось інший має кращу відповідь, це може бути застосовано вище. SE Blog Blog про відповіді на власні запитання

— Mat Wood

Ми можемо взяти це до мета (і, можливо, ми повинні), але, загалом кажучи, ви можете (і повинні!) Зробити це, якщо 1) ви самі пережили щось, що, на вашу думку, могли б навчитися інші (Q і A) і 2) Це життєво важливо на «прості» беті - сайти з хорошими питаннями і відповідями заздалегідь , так що вони будуть залучати хороші питання і відповіді в майбутньому .. більше продовжень на meta.NE, будь ласка ...

— Аарон

Чи допомогла вам якась відповідь? якщо так, то слід прийняти відповідь, щоб питання не з’являлося вічно, шукаючи відповідь. Крім того, ви можете надати та прийняти власну відповідь.

— Рон Моупін

Відповіді:

Захист BGP TTL змушує ваш маршрутизатор приймати лише пакети з дуже високим TTL-номером, як правило, 254. Оскільки TTL зменшується щоразу, коли пакет передається, конфігурація цієї функції для обох сусідів гарантує, що лише прямий підключений сусідний маршрутизатор міг надіслати вам це пакет.

— Аарон
джерело

Я додам це як коментар: packetlife.net/blog/2009/nov/23/understanding-bgp-ttl-security, оскільки це також пояснює це деякими гарними картинками.

— NOS

Коли ви налаштовуєте, наприклад, значення 5 у функції tt-захисту, маршрутизатор віднімає 5 від 255, тому він приймає лише IP TTL, що перевищує або дорівнює 255 за мінусом налаштованого значення.

Отже, це насправді не означає, що він приймає лише маршрутизатор, безпосередньо підключений. Це дозволяє уникнути атак з боку хоста, що маніпулює TTL в сесії TCP.

— GFCISCO
джерело

Це схоже на відповідь на відповідь Аарона. Відповідь має стояти окремо (це не форум).

— Таннер Фолкнер