تضامنًا مع حق الشعب الفلسطيني |
تصفية الدخول
في شبكات الحاسوب، تعتبر تقنية «تصفية الدخول» تقنية تستخدم للتأكد من أن الحزم الواردة هي في الواقع من الشبكات التي تدعي أنها نشأت منها. يمكن استخدام هذا كإجراء مضاد ضد هجمات الانتحال المختلفة حيث تحتوي حزم المهاجم على عناوين بروتوكول الإنترنت مزيفة.
غالبًا ما يستخدم الانتحال في هجمات رفض الخدمة، والتخفيف من حدتها هو تطبيق أساسي لتقنية تصفية الدخول.[1]
المشكلة
تستقبل الشبكات الحزم من الشبكات الأخرى. عادةً ما تحتوي الحزمة على عنوان بروتوكول الإنترنت الخاص بجهاز الحاسوب الذي أرسلها في الأصل. يسمح هذا للأجهزة في الشبكة المستقبلة بمعرفة مصدرها، مما يسمح بإعادة توجيه الرد (من بين أشياء أخرى)، إلا عند استخدام عناوين بروتوكول الإنترنت من خلال وكيل أو عنوان بروتوكول إنترنت مزيف.
يمكن أن يكون عنوان بروتوكول الإنترنت الخاص بالمرسل مزيفًا (خادعًا)، مما يميز هجوم انتحال وهذا يخفي أصل الحزم المرسلة، على سبيل المثال في (هجوم رفض الخدمة).
ينطبق الشيء نفسه على الوكيل، وإن كان بطريقة مختلفة عن انتحال بروتوكول الإنترنت
الحلول المحتملة
يتضمن أحد الحلول المحتملة تنفيذ استخدام بوابات الإنترنت الوسيطة (أي تلك الخوادم التي تربط شبكات متباينة على طول المسار الذي تتبعه أي حزمة معينة)، أو ترشيح أو رفض أي حزمة تعتبر غير شرعية. قد تتجاهل البوابة التي تعالج الحزمة الحزمة تمامًا، أو حيثما أمكن، قد ترسل حزمة مرة أخرى إلى المرسل لتنقل رسالة تفيد بأن الحزمة غير المشروعة قد تم رفضها. تعد أنظمة منع اقتحام المضيف (HIPS) أحد الأمثلة على التطبيقات الهندسية التقنية التي تساعد في تحديد / أو منع / أو ردع الأحداث والتدخلات غير المرغوب فيها / أو غير المتوقعة / أو المشبوهة.
يقوم أي جهاز توجيه يقوم بتنفيذ تصفية الدخول بفحص حقل آي بي المصدر لحزم بروتوكول الإنترنت التي يتلقاها، ويسقط الحزم إذا لم يكن للحزم عنوان بروتوكول الإنترنت في كتلة عنوان بروتوكول الإنترنت التي تتصل بها الواجهة. قد لا يكون هذا ممكنًا إذا كان المضيف النهائي متعدد المنازل ويرسل أيضًا حركة مرور شبكة النقل.
في تصفية الدخول، يتم تصفية الحزم الواردة إلى الشبكة إذا كان يجب ألا ترسل الشبكة المرسلة حزمًا من عنوان (عناوين) بروتوكول الإنترنت الأصلي. إذا كان المضيف النهائي عبارة عن شبكة أو مضيف كعب روتين، يحتاج جهاز التوجيه إلى تصفية جميع حزم بروتوكول الإنترنت التي تحتوي، مثل بروتوكول الإنترنت المصدر، والعناوين الخاصة (RFC 1918)، أو عناوين بوجون أو العناوين التي ليس لها نفس عنوان الشبكة مثل الواجهة.
الشبكات
تصفية دخول الشبكة هي تقنية تصفية حزم يستخدمها العديد من مزودي خدمة الإنترنت لمحاولة منع انتحال عنوان بروتوكول الإنترنت لحركة مرور الإنترنت، وبالتالي مكافحة أنواع مختلفة من إساءة استخدام الشبكة بشكل غير مباشر عن طريق جعل حركة مرور الإنترنت قابلة للتتبع إلى مصدرها.
تعمل تصفية دخول الشبكة على تسهيل تتبع هجمات رفض الخدمة إلى مصدرها (مصادرها) حتى يمكن إصلاحها.[2]
تصفية دخول الشبكة هي سياسة حسن الجوار التي تعتمد على التعاون بين مزودي خدمات الإنترنت لمصلحتهم المشتركة.
تم توثيق أفضل الممارسات الحالية لتصفية دخول الشبكة من قبل فريق هندسة الإنترنت في BCP 38 و84، والتي تم تحديدها بواسطة RFC 2827 وRFC 3704، على التوالي.[3][4]
توصي BCP 84 بأن يدخل موفرو حزم تصفية اتصال بروتوكول الإنترنت إلى شبكاتهم من عملاء المصب، وتجاهل أي حزم لها عنوان مصدر غير مخصص لذلك العميل.
هناك العديد من الطرق الممكنة لتنفيذ هذه السياسة؛ تتمثل إحدى الآليات الشائعة في تمكين إعادة توجيه المسار العكسي على الارتباطات إلى العملاء، والتي ستطبق هذه السياسة بشكل غير مباشر بناءً على تصفية مسار المزود لإعلانات مسار العملاء.
النشر
يشير أحد التقارير في من عام 2012، إلى أنه على عكس الرأي العام حول عدم نشر BCP 38، كان حوالي 80٪ من الإنترنت (وفقًا لمقاييس مختلفة) يطبقون بالفعل ترشيح حزم مكافحة انتحال في شبكاتهم.
يؤيد خبير أمن الحاسوب واحد على الأقل إصدار قانون يطالب 100٪ من جميع مزودي خدمات الإنترنت بتنفيذ تصفية دخول الشبكة على النحو المحدد في IETF BCP 38. في الولايات المتحدة، من المفترض أن تقوم لجنة الاتصالات الفيدرالية (FCC) بفرض هذا القانون.[5]
المراجع
- ^ Zhauniarovich، Yury؛ Dodia، Priyanka (2019-06). "Sorting the Garbage: Filtering Out DRDoS Amplification Traffic in ISP Networks". 2019 IEEE Conference on Network Softwarization (NetSoft): 142–150. DOI:10.1109/NETSOFT.2019.8806653. مؤرشف من الأصل في 16 يناير 2021.
{{استشهاد بدورية محكمة}}
: تحقق من التاريخ في:|تاريخ=
(مساعدة) - ^ "Creating Laws for Computer Security". dwheeler.com. مؤرشف من الأصل في 2022-06-05. اطلع عليه بتاريخ 2022-07-01.
- ^ "RFC 2827 - Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing". datatracker.ietf.org. مؤرشف من الأصل في 2022-06-09. اطلع عليه بتاريخ 2022-07-01.
- ^ "RFC 3704 - Ingress Filtering for Multihomed Networks". datatracker.ietf.org. مؤرشف من الأصل في 2022-06-26. اطلع عليه بتاريخ 2022-07-01.
- ^ Greene, Barry (12 Jun 2012). "Everyone should be deploying BCP 38! Wait, they are …". SENKI (بen-US). Archived from the original on 2022-04-14. Retrieved 2022-07-01.
{{استشهاد ويب}}
: صيانة الاستشهاد: لغة غير مدعومة (link)