지난 몇 주 동안 몇몇 사람들이 신비하게 나타난 다음 사라지는 경로에 대해 저에게 물었습니다. 예를 들어
경로 인쇄 기본 게이트웨이: 10.10.10.1 네트워크 주소 게이트웨이 주소 서브넷 마스크 리디렉션 라이프 172.16.0.0 10.10.10.172 255.255.0.0 |
그림 1 – 원래 라우팅 테이블 |
그런 다음
경로 인쇄
기본 게이트웨이: 10.10.10.1
네트워크 주소 게이트웨이 주소 서브넷 마스크 리디렉션 라이프
172.16.0.0 10.10.10.172 255.255.0.0
172.16.1.2 255.255.255.255 10.10.10.254 5분
|
그림 2 – 동적 경로 추가 |
그리고 5 분 후
경로 인쇄 기본 게이트웨이: 10.10.10.1 네트워크 주소 게이트웨이 주소 서브넷 마스크 리디렉션 라이프 172.16.0.0 10.10.10.172 255.255.0.0 |
그림 3 – 동적 경로 삭제 |
STCP 스택이 한 라우터에서 ICMP 리디렉션 메시지를 수신하여 다른 라우터를 사용하도록 지시하면 이러한 동적 경로가 추가됩니다. 디스플레이에 표시된 대로 경로의 수명은 5분이므로 5분 후에 삭제됩니다. 물론 스택이 다른 리디렉션 메시지를 받으면 즉시 돌아올 수 있습니다.
프로세스를 자세히 설명하려면; STCP는 라우터 10.10.10.172를 통해 172.16.0.0/16 네트워크로 가는 경로로 정의되어 있다고 가정해 보겠습니다. 또한 IP 주소 10.10.10.254가 있는 네트워크에 다른 라우터가 있습니다. 나는이 라우터를 R-172 및 R-254로 참조할 것입니다. R-172와 R-254는 모두 172.16.0.0/16 네트워크에 도달할 수 있지만 R-172는 높은 대역폭 T3 연결을 사용하는 반면 R-254는 낮은 대역폭 다이얼업 ISDN 링크를 사용합니다.
STCP 경로는 위의 그림 1과 유사하며 R-254를 사용하는 명시적 경로가 없습니다.
R-172의 T3 링크가 다운되면 더 이상 172.16.0/16 네트워크에 도달할 수 없지만 패킷이 172.16.1.2에 들어오면 R-254가 패킷을 R-254로 전달하고 ICMP 리디렉션 메시지를 보낸 사람에게 다시 보낼 수 있다는 것을 알고 있습니다. 이 경우 STCP 발신자는 172.16.1.2에 도달하려면 패킷을 R-254, 그림 2로 보내야 한다는 동적 호스트 경로를 구축합니다.
이들은 호스트 경로 이기 때문에 172.16.0.0/16 네트워크에서 패킷을 전송 하는 자체 5 분 타이머와 함께 자체 경로 얻을 것 이다. 경로 명령은 각 경로에 대한 현재 남은 수명을 표시합니다.
경로 인쇄 기본 게이트웨이: 10.10.10.1 네트워크 주소 게이트웨이 주소 서브넷 마스크 리디렉션 라이프 172.16.0.0 10.10.10.172 255.255.0.0 172.16.1.1 255.255.255.255 10.10.10.254 5분 172.16.1.8 255.255.255.255 10.10.10.254 2분 172.16.1.23 255.255.255.255 10.10.10.254 2분 172.16.1.65 255.255.255.255 10.10.10.254 2분 172.16.1.101 255.255.255.255 10.10.10.254 3분 172.16.1.200 255.255.255 10.10.10.254 5분 |
그림 4 – 여러 호스트 경로 |
R-172의 T3 링크가 발생하면 호스트 경로가 없는 호스트가 아무 일도 일어나지 않았기 때문에 R-172를 사용한다는 것입니다. 호스트 경로가 있는 호스트는 R-172의 링크가 백업(라우터가 서로 경로 상태를 교환)하고 패킷을 R-172로 전달한다는 것을 알고 있는 R-254를 사용합니다. R-254는 또한 R-172(그림 5)를 사용하여 새 호스트 경로가 생성된 보낸 사람에게 ICMP 리디렉션을 보내야 합니다.
경로 인쇄 기본 게이트웨이: 10.10.10.1 네트워크 주소 게이트웨이 주소 서브넷 마스크 리디렉션 라이프 172.16.0.0 10.10.10.172 255.255.0.0 172.16.1.9 255.255.255.255 10.10.10.172 3분 172.16.1.18 255.255.255.255 10.10.10.172 4분 172.16.1.20 255.255.255.255 10.10.10.172 2분 |
그림 5 – 호스트 경로원래 라우터로 리디렉션됨 |
일부 조건에서STCP가 동적 경로를 만들지 않는 것이 합리적일 수 있습니다. 예를 들어 R-254가 다운되고 R-172의 정보가 제거되지 않은 정적 항목인 경우 는 어떻게 해야 합니까? 이 경우 172.16.0.0/16 네트워크에서 호스트에 대한 패킷은 R-254에 도달할 수 없을 때 삭제됩니다. R-172의 T3이 다시 돌아오면 호스트 경로가 없는 172.16.0.0/16 호스트에 연결할 수 있지만 R-254 호스트 경로가 있는 호스트 경로는 도달할 수 없는 상황이 있습니다. 시간이 지남에 따라 R-254 경로 시간 초과 점점 더 많은 호스트에 도달 할 수 있지만 완전히 복구하는 데 5 분이 걸릴 것입니다.
일부 보안 전문가들은 이러한 방식으로 생성된 동적 경로를 보안 문제로 보고 있습니다. 네트워크의 모든 호스트는 ICMP 리디렉션 메시지를 보내고 패킷을 다른 게이트웨이로 리디렉션할 수 있으며, 여기서 중요한 콘텐츠가 있는 패킷, 암호 또는 계정 정보를 캡처할 수 있습니다.
그렇다면 이러한 경로가 만들어지는 것을 방지할 수 있는 방법이 있습니까?
예. STCP 구성 매개 변수는 STCP가 ICMP 리디렉션 메시지를 처리하는 방법을 제어할 listen_redirects. 기본 설정 "켜기"는 STCP에 이러한 동적 경로를 만들도록 지시하며, "끄기"는 STCP에 ICMP 리디렉션 메시지를 무시하도록 지시합니다.
as: list_stcp_params listen_redirects ICMP 리디렉션 [끄기/켜기] (listen_redirects) 로: set_stcp_param listen_redirects 끄기 ICMP 리디렉션에 대한 듣기 변경(listen_redirects) 온/오프에서 |
그림 6 – listen_redirect STCP 매개 변수 설정 |
이 매개 변수는 시스템 전체에 영향을 미치므로 STCP가 일부 라우터에서 리디렉션을 수신하지만 다른 라우터에서 리디렉션을 수신하도록 지정할 수는 없습니다.