Отказ в обслуживании (DoS)
LDP предоставляет две потенциальные мишени для атак отказа в обслуживания (DoS):
1. Стандартное выявление UDP-порта для LDP
LSR администратор может противодействовать угрозе атак DoS посредством базовых Hello за счет гарантии того, что LSR непосредственно соединяется только с партнерами, которым можно доверять и которые не начнут такую атаку.
Интерфейсы к партнерам, внутренних по отношению домена администратора, не должны представлять угрозу, так как внутренние партнеры находятся под контролем администратора. Интерфейсы к партнерам, внешним по отношению к домену, представляют потенциальную угрозу, так как они не контролируются администратором. Администратор может уменьшить угрозу, путем соединения LSR только к внешним партерам, которым можно доверять.
DoS атаки через посредство расширенных Hello представляют потенциально более серьезную угрозу. Этой угрозе можно противостоять путем фильтрации расширенных Hello с помощью списков доступа, которые определяют адреса, откуда расширенное выявление (extended discovery) разрешено. Однако осуществление фильтрации требует ресурсов LSR.
В среде, где можно сформировать безопасную сеть MPLS, граничный LSR может использоваться для защиты внутренних LSR от DoS атак с помощью расширенных Hello, посредством отбора сообщений, посылаемых извне по отношению к безопасной сети MPLS. Эта фильтрация защищает LSR во внутренней части сети, но требует ресурсов от пограничных маршрутизаторов.
2. Стандартный TCP порт для установления сессии LDP
Подобно другим протоколам управления, которые используют TCP, LDP может быть мишенью DoS атак, таких как SYN-атаки. Протокол LDP не более уязвим к этому виду атак, чем другие протоколы управления, используемые совместно с TCP. Угроза таких атак может быть несколько уменьшена посредством следующих мер:
- LSR следует избегать тотального прослушивания (promiscuous) TCP для установления сессий LDP. Ему следует использовать только прослушивание части пакетов с целью выявления партнеров. Это позволяет отбросить пакеты атак.
- Использование опции MD5 до какой-то степени помогает, так как предотвращает прием SYN, если контрольная сумма MD5 сегмента не верна. Однако получатель должен вычислить контрольную сумму, прежде чем он сможет решить отбросить соответствующий сегмент.
- Использование механизмов со списками доступа на границах сети MPLS в режиме, подобном предложенному выше для расширенных Hello, может защитить внутреннюю область от атак извне.