Zum Hauptinhalt springen

In den letzten Wochen haben mich mehrere Leute nach Routen gefragt, die auf mysteriöse Weise erscheinen und dann wieder verschwinden. Zum Beispiel

Routendruck

Standard-Gateway: 10.10.10.1

Netzwerkadresse Gateway-Adresse Subnetzmaske Umleitung Leben
172.16.0.0       10.10.10.172     255.255.0.0
Abbildung 1 - ursprüngliche Routing-Tabelle

Und dann

Routendruck

Standard-Gateway: 10.10.10.1

Netzwerkadresse Gateway-Adresse Subnetzmaske Umleitung Leben
172.16.0.0       10.10.10.172     255.255.0.0
172.16.1.2 255.255.255.255 10.10.10.254 5 Min.
Abbildung 2 - dynamische Route hinzugefügt

Und 5 Minuten später

Routendruck

Standard-Gateway: 10.10.10.1

Netzwerkadresse Gateway-Adresse Subnetzmaske Umleitung Leben
172.16.0.0       10.10.10.172     255.255.0.0
Abbildung 3 - dynamische Route gelöscht

Diese dynamischen Routen werden hinzugefügt, wenn der STCP-Stack eine ICMP-Redirect-Nachricht von einem Router empfängt, die ihm mitteilt, dass er einen anderen Router verwenden soll. Wie in der Anzeige angegeben, haben die Routen eine Lebensdauer von 5 Minuten, sodass sie nach 5 Minuten gelöscht werden. Natürlich können sie sofort zurückkommen, wenn der Stack eine weitere Redirect-Nachricht empfängt.

Um den Vorgang im Detail zu beschreiben; nehmen wir an, dass STCP mit einer Route zum Netzwerk 172.16.0.0/16 über den Router 10.10.10.172 definiert ist. Darüber hinaus gibt es einen weiteren Router im Netzwerk mit der IP-Adresse 10.10.10.254. Ich werde diese Router als R-172 und R-254 bezeichnen. Sowohl R-172 als auch R-254 können das Netzwerk 172.16.0.0/16 erreichen, aber R-172 verwendet eine T3-Verbindung mit hoher Bandbreite, während R-254 eine ISDN-Einwahlverbindung mit niedriger Bandbreite verwendet.

Die STCP-Routen sehen wie in Abbildung 1 oben aus. Beachten Sie, dass es keine explizite Route über R-254 gibt.

Wenn die T3-Verbindung von R-172 ausfällt, kann er das Netzwerk 172.16.0.0/16 nicht mehr erreichen, aber er weiß, dass R-254 es kann. Wenn also ein Paket für 172.16.1.2 eingeht, leitet er das Paket an R-254 weiter und sendet außerdem eine ICMP-Redirect-Nachricht zurück an den Absender. Der Absender, in diesem Fall STCP, baut eine dynamische Host-Route auf, die angibt, dass er das Paket an R-254 senden muss, um 172.16.1.2 zu erreichen (Abbildung 2).

Da es sich um Host-Routen handelt, erhält jeder Host im Netzwerk 172.16.0.0/16, dem ein Paket gesendet wird, eine eigene Route mit einem eigenen 5-Minuten-Timer. Der Befehl route zeigt die aktuelle Restlebensdauer für jede Route an.

Routendruck

Standard-Gateway: 10.10.10.1

Netzwerkadresse Gateway-Adresse Subnetzmaske Umleitung Leben
172.16.0.0       10.10.10.172     255.255.0.0
172.16.1.1 255.255.255.255 10.10.10.254 5 Min.
172.16.1.8 255.255.255.255 10.10.10.254 2 Min.
172.16.1.23 255.255.255.255 10.10.10.254 2 Min.
172.16.1.65 255.255.255.255 10.10.10.254 2 Min.
172.16.1.101 255.255.255.255 10.10.10.254 3 Min.
172.16.1.200 255.255.255.255 10.10.10.254 5 Min.
Abbildung 4 - Routen mit mehreren Hosts

Wenn die T3-Verbindung von R-172 wiederhergestellt ist, sollten die Hosts, die keine Host-Route haben, R-172 verwenden, als wäre nie etwas passiert. Die Hosts mit einer Host-Route verwenden R-254, der weiß, dass die Verbindung von R-172 wiederhergestellt ist (Router tauschen den Routenstatus untereinander aus) und leiten das Paket daher an R-172 weiter. R-254 sollte auch einen ICMP-Redirect an den Absender zurücksenden, wodurch eine neue Host-Route über R-172 entsteht (Abbildung 5).

Routendruck

Standard-Gateway: 10.10.10.1

Netzwerkadresse Gateway-Adresse Subnetzmaske Umleitung Leben
172.16.0.0       10.10.10.172     255.255.0.0
172.16.1.9 255.255.255.255 10.10.10.172 3 Minuten
172.16.1.18 255.255.255.255 10.10.10.172 4 Min.
172.16.1.20 255.255.255.255 10.10.10.172 2 Min.
Abbildung 5 - Host-Routen werden zurück zum ursprünglichen Router umgeleitet

Unter manchen Bedingungen kann es für STCP sinnvoll sein, keine dynamischen Routen zu erstellen. Was ist zum Beispiel, wenn R-254 ausgefallen ist und die Informationen von R-172 ein statischer Eintrag sind, der nie entfernt wurde. In diesem Fall werden Pakete an Hosts im 172.16.0.0/16-Netzwerk einfach verworfen, wenn R-254 nicht erreicht werden kann. Wenn R-172's T3 wieder in Betrieb geht, haben Sie die Situation, dass die 172.16.0.0/16-Hosts ohne Host-Route erreichbar sind, aber die mit der R-254-Host-Route nicht. Mit der Zeit, wenn die R-254-Routen eine Zeitüberschreitung aufweisen, werden immer mehr Hosts erreichbar sein, aber es wird 5 Minuten dauern, bis sie vollständig wiederhergestellt sind.

Einige Sicherheitsexperten sehen in den so erzeugten dynamischen Routen auch ein Sicherheitsproblem. Jeder Host im Netzwerk kann eine ICMP-Redirect-Nachricht senden, die Pakete an ein anderes Gateway umleitet, an dem Pakete mit sensiblen Inhalten wie Passwörtern oder Kontoinformationen abgefangen werden können.

Gibt es also eine Möglichkeit zu verhindern, dass diese Routen erstellt werden?

Ja, der STCP-Konfigurationsparameter listen_redirects steuert, wie STCP ICMP-Redirect-Meldungen behandelt. Die Standardeinstellung "on" weist STCP an, diese dynamischen Routen zu erstellen, die Einstellung "off" weist STCP an, ICMP-Redirect-Meldungen zu ignorieren.

as: list_stcp_params listen_redirects

auf ICMP-Redirects hören [off/on] (listen_redirects) on 

wie: set_stcp_param listen_redirects aus

Ändern von listen to ICMP redirects (listen_redirects)
von on auf off
Abbildung 6 - Einstellung des STCP-Parameters listen_redirect

Beachten Sie, dass sich dieser Parameter auf das gesamte System auswirkt. Sie können nicht festlegen, dass STCP auf Weiterleitungen von einigen Routern hören soll, von anderen aber nicht.

© 2020 Stratus Technologies.