Quel est l'objectif de la sécurité BGP TTL?

14

Contre quels vecteurs d'attaque le bouton de sécurité BGP TTL protège-t-il?

bgp  security 
Aaron
source
2
Pourquoi poser une question et y répondre immédiatement?
smithian
3
Je pensais que c'était bizarre, je l'ai vu sur d'autres questions. J'ai cherché et apparemment c'est généralement accepté. Au moins si quelqu'un d'autre a une meilleure réponse, elle peut être augmentée. Article de blog SE sur la réponse à ses propres questions
Mat Wood
2
Nous pouvons prendre cela en méta (et peut-être que nous devrions), mais en général, vous pouvez (et devriez!) Le faire si 1) vous-même avez vécu quelque chose que vous pensez que d'autres pourraient apprendre de (Q et A) et 2) C'est d'une importance vitale aux sites bêta «prime» avec de bonnes questions et réponses à l'avance afin qu'ils attirent de bonnes questions et réponses à l'avenir .. plus de suivis sur meta.NE, s'il vous plaît ...
Aaron
Une réponse vous a-t-elle aidé? si c'est le cas, vous devez accepter la réponse afin que la question ne continue pas d'apparaître indéfiniment, à la recherche d'une réponse. Alternativement, vous pouvez fournir et accepter votre propre réponse.
Ron Maupin

Réponses:

13

La sécurité BGP TTL fait que votre routeur accepte uniquement les paquets qui ont un nombre TTL très élevé, généralement 254. Puisque TTL est décrémenté à chaque fois qu'un paquet est routé, la configuration de cette fonctionnalité sur les deux voisins garantit que seul un routeur voisin directement connecté pourrait vous avoir envoyé ce paquet.

Aaron
source
Je vais ajouter ceci en tant que commentaire: packetlife.net/blog/2009/nov/23/understanding-bgp-ttl-security car il l'explique également avec de jolies images.
nos
3

Lorsque vous configurez par exemple une valeur de 5 dans la fonction de sécurité tt, le routeur déduit 5 de 255, il n'accepte donc qu'un IP TTL supérieur ou égal à 255 moins la valeur configurée.

Donc, cela ne signifie pas vraiment qu'il accepte uniquement un routeur directement connecté. Il évite les attaques de l'hôte manipulant le TTL dans la session TCP.

GFCISCO
source
5
Cela semble être une réponse à la réponse d'Aaron. Une réponse doit être indépendante (ce n'est pas un forum).
Tanner Faulkner
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.