Pular para o conteúdo principal

Nas últimas semanas, várias pessoas me perguntaram sobre rotas que aparecem misteriosamente e depois desaparecem. Por exemplo

imprimir o itinerário

Porta de entrada padrão: 10.10.10.1

Máscara de Endereço da Subrede de Endereço da Rede Vida Redirecionada
172.16.0.0       10.10.10.172     255.255.0.0
Figura 1 - tabela de roteamento original

E então

imprimir o itinerário

Porta de entrada padrão: 10.10.10.1

Máscara de Endereço da Subrede de Endereço da Rede Vida Redirecionada
172.16.0.0       10.10.10.172     255.255.0.0
172.16.1.2 255.255.255.255 10.10.10.254 5 mins
Figura 2 - rota dinâmica acrescentada

E 5 minutos depois

imprimir o itinerário

Porta de entrada padrão: 10.10.10.1

Máscara de Endereço da Subrede de Endereço da Rede Vida Redirecionada
172.16.0.0       10.10.10.172     255.255.0.0
Figura 3 - rota dinâmica eliminada

Estas rotas dinâmicas são adicionadas quando a pilha STCP recebe uma mensagem de redirecionamento ICMP de um roteador dizendo-lhe para usar um roteador diferente. Como indicado pelo visor, as rotas têm uma vida útil de 5 minutos, portanto, após 5 minutos, elas são apagadas. É claro que eles podem voltar imediatamente se a pilha receber outra mensagem de redirecionamento.

Para descrever o processo em detalhes; digamos que o STCP é definido com uma rota para a rede 172.16.0.0/16 através do roteador 10.10.10.172. Além disso, há outro roteador na rede com o endereço IP 10.10.10.254. Vou me referir a estes roteadores como R-172 e R-254. Ambos R-172 e R-254 podem alcançar a rede 172.16.0.0/16, mas R-172 usa uma conexão T3 de alta largura de banda enquanto R-254 usa uma conexão ISDN discada de baixa largura de banda.

As rotas STCP parecem-se com a figura 1 acima, note que não há nenhuma rota explícita usando o R-254.

Quando o link T3 do R-172 cai, ele não pode mais alcançar a rede 172.16.0.0/16, mas sabe que o R-254 pode assim quando um pacote chega para 172.16.1.2, ele encaminha o pacote para o R-254 e também envia uma mensagem de redirecionamento ICMP de volta para o remetente. O remetente, STCP neste caso, constrói uma rota de host dinâmica indicando que para alcançar 172.16.1.2 ele precisa enviar o pacote para o R-254, figura 2.

Uma vez que estas são rotas de hospedagem, cada hospedeiro da rede 172.16.0.0/16 que é enviado um pacote receberá sua própria rota com seu próprio timer de 5 minutos. O comando de rota mostra o tempo de vida restante atual para cada rota.

imprimir o itinerário

Porta de entrada padrão: 10.10.10.1

Máscara de Endereço da Subrede de Endereço da Rede Vida Redirecionada
172.16.0.0       10.10.10.172     255.255.0.0
172.16.1.1 255.255.255.255 10.10.10.254 5 mins
172.16.1.8 255.255.255.255 10.10.10.254 2 mins
172.16.1.23 255.255.255.255 10.10.10.254 2 mins
172.16.1.65 255.255.255.255 10.10.10.254 2 mins
172.16.1.101 255.255.255.255 10.10.10.254 3 mins
172.16.1.200 255.255.255.255 10.10.10.254 5 mins
Figura 4 - múltiplas rotas de hospedagem

Quando o link T3 do R-172 surge o que deveria acontecer é que os anfitriões que não têm uma rota de hospedagem usam o R-172 como se nada tivesse acontecido. Os hosts que têm uma rota de hospedagem usam o R-254 que sabe que o link do R-172 está de volta (os roteadores trocam o status da rota uns com os outros) e assim encaminha o pacote para o R-172. O R-254 também deve enviar um redirecionamento ICMP de volta ao remetente, resultando em uma nova rota de host usando o R-172 (figura 5).

imprimir o itinerário

Porta de entrada padrão: 10.10.10.1

Máscara de Endereço da Subrede de Endereço da Rede Vida Redirecionada
172.16.0.0       10.10.10.172     255.255.0.0
172.16.1.9 255.255.255.255.255 10.10.10.172 3 mins
172.16.1.18 255.255.255.255 10.10.10.172 4 mins
172.16.1.20 255.255.255.255.255 10.10.10.172 2 mins
Figura 5 - rotas do host redirecionadas de volta ao roteador original

Sob algumas condições pode fazer sentido para a STCP não criar nenhuma rota dinâmica. Por exemplo, e se o R-254 estiver em baixo e a informação do R-172 for uma entrada estática que nunca foi removida. Nesse caso, pacotes para hosts na rede 172.16.0.0/16 simplesmente são descartados quando o R-254 não pode ser alcançado. Quando o T3 do R-172 volta para cima você tem a situação de que aqueles hosts 172.16.0.0/16 sem uma rota de host são alcançáveis, mas aqueles com a rota de host R-254 não são. Com o passar do tempo, à medida que o R-254 roteia mais e mais hospedeiros serão alcançáveis, mas levará 5 minutos para se recuperar totalmente.

Alguns especialistas em segurança também vêem as rotas dinâmicas criadas desta forma como uma questão de segurança. Qualquer host na rede pode enviar uma mensagem de redirecionamento ICMP, redirecionando pacotes para um gateway diferente, um onde pacotes com conteúdo sensível como senhas ou informações de conta podem ser capturados.

Existe alguma forma de impedir que essas rotas sejam criadas?

Sim, o parâmetro de configuração STCP listen_redirects controla como o STCP trata as mensagens de redirecionamento do ICMP. A configuração padrão "on" diz ao STCP para criar estas rotas dinâmicas, a configuração "off" diz ao STCP para ignorar as mensagens de redirecionamento de ICMP.

como: list_stcp_params listen_redirects

ouvir o ICMP redireciona [off/on] (listen_redirects) para 

como: set_stcp_param listen_redirects off

Mudança ouvir ICMP redireciona (listen_redirects)
de cima para baixo
Figura 6 - definição do parâmetro STCP listen_redirect

Note que este parâmetro afeta o sistema como um todo, você não pode especificar que o STCP deve ouvir redirecionamentos de alguns roteadores, mas não de outros.

© 2020 Stratus Technologies.