مستخدم:جعفر بدران/ملعب

في شبكات الحاسوب، تعتبر تقنية " تصفية الدخول" تقنية تستخدم للتأكد من أن الحزم الواردة هي في الواقع من الشبكات التي تدعي أنها نشأت منها. يمكن استخدام هذا كإجراء مضاد ضد هجمات الانتحال المختلفة حيث تحتوي حزم المهاجم على عناوين IP مزيفة.

غالبًا ما يستخدم الانتحال في هجمات رفض الخدمة ، والتخفيف من حدتها هو تطبيق أساسي لتقنية تصفية الدخول.^[1]

المشكلة[عدل]

تستقبل الشبكات الحزم من الشبكات الأخرى. عادةً ما تحتوي الحزمة على عنوان بروتوكول الإنترنت الخاص بجهاز الحاسوب الذي أرسلها في الأصل. يسمح هذا للأجهزة في الشبكة المستقبلة بمعرفة مصدرها ، مما يسمح بإعادة توجيه الرد (من بين أشياء أخرى) ، إلا عند استخدام عناوين بروتوكول الإنترنت من خلال وكيل أو عنوان بروتوكول إنترنت مزيف.

يمكن أن يكون عنوان بروتوكول الإنترنت الخاص بالمرسل مزيفًا ( خادعًا ) ، مما يميز هجوم انتحال وهذا يخفي أصل الحزم المرسلة ، على سبيل المثال في (هجوم رفض الخدمة) .

ينطبق الشيء نفسه على الوكيل، وإن كان بطريقة مختلفة عن انتحال بروتوكول الإنترنت

الحلول المحتملة[عدل]

يتضمن أحد الحلول المحتملة تنفيذ استخدام بوابات الإنترنت الوسيطة (أي تلك الخوادم التي تربط شبكات متباينة على طول المسار الذي تتبعه أي حزمة معينة) ، أو ترشيح أو رفض أي حزمة تعتبر غير شرعية. قد تتجاهل البوابة التي تعالج الحزمة الحزمة تمامًا ، أو حيثما أمكن ، قد ترسل حزمة مرة أخرى إلى المرسل لتنقل رسالة تفيد بأن الحزمة غير المشروعة قد تم رفضها. تعد أنظمة منع اقتحام المضيف (HIPS) أحد الأمثلة على التطبيقات الهندسية التقنية التي تساعد في تحديد / أو منع / أو ردع الأحداث والتدخلات غير المرغوب فيها / أو غير المتوقعة / أو المشبوهة.

يقوم أي جهاز توجيه يقوم بتنفيذ تصفية الدخول بفحص حقل IP المصدر لحزم IP التي يتلقاها ، ويسقط الحزم إذا لم يكن للحزم عنوان بروتوكول الإنترنت في كتلة عنوان IP التي تتصل بها الواجهة. قد لا يكون هذا ممكنًا إذا كان المضيف النهائي متعدد المنازل ويرسل أيضًا حركة مرور شبكة النقل.

في تصفية الدخول ، يتم تصفية الحزم الواردة إلى الشبكة إذا كان يجب ألا ترسل الشبكة المرسلة حزمًا من عنوان (عناوين) IP الأصلي. إذا كان المضيف النهائي عبارة عن شبكة أو مضيف كعب روتين ، يحتاج جهاز التوجيه إلى تصفية جميع حزم IP التي تحتوي ، مثل IP المصدر ، والعناوين الخاصة (RFC 1918) ، أو عناوين bogon أو العناوين التي ليس لها نفس عنوان الشبكة مثل الواجهة.

الشبكات[عدل]

تصفية دخول الشبكة هي تقنية تصفية حزم يستخدمها العديد من مزودي خدمة الإنترنت لمحاولة منع انتحال عنوان بروتوكول الإنترنت لحركة مرور الإنترنت ، وبالتالي مكافحة أنواع مختلفة من إساءة استخدام الشبكة بشكل غير مباشر عن طريق جعل حركة مرور الإنترنت قابلة للتتبع إلى مصدرها.

تعمل تصفية دخول الشبكة على تسهيل تتبع هجمات رفض الخدمة إلى مصدرها (مصادرها) حتى يمكن إصلاحها.^[2]

تصفية دخول الشبكة هي سياسة حسن الجوار التي تعتمد على التعاون بين مزودي خدمات الإنترنت لمصلحتهم المشتركة.

تم توثيق أفضل الممارسات الحالية لتصفية دخول الشبكة من قبل فريق هندسة الإنترنت في BCP 38 و 84 ، والتي تم تحديدها بواسطة RFC 2827 و RFC 3704 ، على التوالي.^[3]^[4]

توصي BCP 84 بأن يدخل موفرو حزم تصفية اتصال IP إلى شبكاتهم من عملاء المصب ، وتجاهل أي حزم لها عنوان مصدر غير مخصص لذلك العميل.

هناك العديد من الطرق الممكنة لتنفيذ هذه السياسة ؛ تتمثل إحدى الآليات الشائعة في تمكين إعادة توجيه المسار العكسي على الارتباطات إلى العملاء ، والتي ستطبق هذه السياسة بشكل غير مباشر بناءً على تصفية مسار المزود لإعلانات مسار العملاء .

النشر[عدل]

بدا من عام 2012 ، يشير أحد التقارير إلى أنه ، على عكس الرأي العام حول عدم نشر BCP 38 ، كان حوالي 80 ٪ من الإنترنت (وفقًا لمقاييس مختلفة) يطبقون بالفعل ترشيح حزم مكافحة انتحال في شبكاتهم.

يؤيد خبير أمن الحاسوب واحد على الأقل إصدار قانون يطالب 100٪ من جميع مزودي خدمات الإنترنت بتنفيذ تصفية دخول الشبكة على النحو المحدد في IETF BCP 38. في الولايات المتحدة ، من المفترض أن تقوم لجنة الاتصالات الفيدرالية ( FCC) بفرض هذا القانون.^[5]

المراجع[عدل]

^ Zhauniarovich، Yury؛ Dodia، Priyanka (2019-06). "Sorting the Garbage: Filtering Out DRDoS Amplification Traffic in ISP Networks". 2019 IEEE Conference on Network Softwarization (NetSoft): 142–150. DOI:10.1109/NETSOFT.2019.8806653. {{استشهاد بدورية محكمة}}: تحقق من التاريخ في: |date= (مساعدة)
^ "Creating Laws for Computer Security". dwheeler.com. اطلع عليه بتاريخ 2022-07-01.
^ "RFC 2827 - Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing". datatracker.ietf.org. اطلع عليه بتاريخ 2022-07-01.
^ "RFC 3704 - Ingress Filtering for Multihomed Networks". datatracker.ietf.org. اطلع عليه بتاريخ 2022-07-01.
^ Greene, Barry (12 Jun 2012). "Everyone should be deploying BCP 38! Wait, they are …". SENKI (بالإنجليزية الأمريكية). Retrieved 2022-07-01.

بوابة أمن المعلومات

[1] Zhauniarovich، Yury؛ Dodia، Priyanka (2019-06). "Sorting the Garbage: Filtering Out DRDoS Amplification Traffic in ISP Networks". 2019 IEEE Conference on Network Softwarization (NetSoft): 142–150. DOI:10.1109/NETSOFT.2019.8806653. {{استشهاد بدورية محكمة}}: تحقق من التاريخ في: |date= (مساعدة)

[2] "Creating Laws for Computer Security". dwheeler.com. اطلع عليه بتاريخ 2022-07-01.

[3] "RFC 2827 - Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing". datatracker.ietf.org. اطلع عليه بتاريخ 2022-07-01.

[4] "RFC 3704 - Ingress Filtering for Multihomed Networks". datatracker.ietf.org. اطلع عليه بتاريخ 2022-07-01.

[5] Greene, Barry (12 Jun 2012). "Everyone should be deploying BCP 38! Wait, they are …". SENKI (بالإنجليزية الأمريكية). Retrieved 2022-07-01.

[1]

[2]

[3]

[4]

[5]