更改直接廣播在路由器上的缺省值

本備忘錄的狀態
本文詳細說明了一個為網絡間交流的InternetBestCurrentPractices，并且要求為改進而
進行討論和建議。此備忘錄的貢獻是有限的。
版權申明
Copyright(C)TheInternetSociety(1999).AllRightsReserved.

1.簡介
路由器要求說明路由器必須接收和傳輸直接的廣播。它也說明路由器MUST有一個選
擇權散失了這個特征，并且這個選擇MUST缺省允許接收和傳輸的直接廣播。當直接的廣
播有用時，他們的在網間中樞使用會出現隱含著在其它網絡中的整個惡意攻擊。
為路由器改變要求的缺省將幫助確定新的路由器連接到網絡并且不會添加到已存在的
麻煩。
在本文中的關鍵字"MUST","MUSTNOT","REQUIRED","SHALL","SHALL
NOT","SHOULD",SHOULDNOT","RECOMMENDED","MAY","OPTIONAL"已經在
RFC2119中詳細說明了。
2.討論的問題
破壞性的否定服務攻擊導致在過濾入口上的[2]的寫。許多網絡提供者和共享的網絡認
可這種方法的是用來確保他們的的網絡不是這類攻擊的來源。
一個在SmurfAttacks[3]里的近代趨勢是允許從外面的網絡直接廣播到目標網絡，這些
系統叫做"SmurfAmplifiers"。
在入口過濾器的不斷執行時即使是只見廣播也要權力是保證限制這種攻擊的最好辦法。
網絡服務提供者和共享網絡管理者強烈要求保證他們的網絡不受外面網絡直接廣播的
包的影響。
動態的IP[4]已經提供了在動態的節點的自動配置代理的使用中使用直接廣播。雖然一
些執行支持這種特點，但不清楚它是否有用。能達到同樣效果的其他方法在[5]里面詳細說
明。這也許值得考慮在使用直接廣播上排除語言就像作為在標準的路徑上的動態IP過程一
樣。
3.建議
路由器需求[1]被如下更新：
4.2.2.11（d）用（d）{<Network-prefix>,-1}代替
直接廣播——一個廣播直接到達特定的網絡名稱。關鍵字MUSTNOT被作為源地址使
用。一個路由器的MAY關鍵字有一個配置選項允許它接收直接廣播的包，然而這個選項的
關鍵字MUST被設為缺省，因此路由器MUSTNOT接收網絡直接廣播的包除非在結尾有特
定的配置。
第5.3.5.2部分的第二節被如下代替：
一個路由器MAY關鍵字有一個能在一個接口上接收network-prefix直接廣播的選項并
且能夠傳輸network-prefix-directedbroadcasts。這些選項的MUST缺省來模塊化接收和模塊
化傳輸network-prefix-directedbroadcasts。
4.安全問題
本文的目的是減少某一特定類型的服務否定攻擊的功效。
5.參考書
[1]Baker,F.,"RequirementsforIPVersion4Routers",RFC1812,
June1995.
[2]Ferguson,P.andD.Senie,"IngressFiltering",RFC2267,January
1998.
[3]SeethepagesbyCraigHuegenat:
http://www.quadrunner.com/~chuegen/smurf.txt,andtheCERT
advisoryat:http://www.cert.org/advisories/CA-98.01.smurf.html.
[4]Perkins,C.,"IPMobilitySupport",RFC2002,October1996.

[5]P.Calhoun,C.Perkins,"MobileIPDynamicHomeAddress
AllocationExtensions",WorkinProgress.

6.謝意
作者非常感謝Mindspring的BrandonRoss和Sun的GabrielMontengro。
7.作者地址
DanielSenie
AmaranthNetworksInc.
324StillRiverRoad
Bolton,MA01740

Phone:(978)779-6813
EMail:dts@senie.com
8.版權申明
Copyrigdocumentht(C)TheInternetSociety(1999).AllRightsReserved.

Thisandtranslationsofitmaybecopiedandfurnishedto
others,andderivativeworksthatcommentonorotherwiseexplainit
orassistinitsimplementationmaybeprepared,copied,published
anddistributed,inwholeorinpart,withoutrestrictionofany
kind,providedthattheabovecopyrightnoticeandthisparagraphare
includedonallsuchcopiesandderivativeworks.However,this
documentitselfmaynotbemodifiedinanyway,suchasbyremoving
thecopyrightnoticeorreferencestotheInternetSocietyorother
Internetorganizations,exceptasneededforthepurposeof
developingInternetstandardsinwhichcasetheproceduresfor
copyrightsdefinedintheInternetStandardsprocessmustbe
followed,orasrequiredtotranslateitintolanguagesotherthan
English.

Thelimitedpermissionsgrantedaboveareperpetualandwillnotbe
revokedbytheInternetSocietyoritssuclearcase/" target="_blank" >ccessorsorassigns.

Thisdocumentandtheinformationcontainedhereinisprovidedonan
"ASIS"basisandTHEINTERNETSOCIETYANDTHEINTERNETENGINEERING
TASKFORCEDISCLAIMSALLWARRANTIES,EXPRESSORIMPLIED,INCLUDING
BUTNOTLIMITEDTOANYWARRANTYTHATTHEUSEOFTHEINFORMATION
HEREINWILLNOTINFRINGEANYRIGHTSORANYIMPLIEDWARRANTIESOF
MERCHANTABILITYORFITNESSFORAPARTICULARPURPOSE.