【RFC5082 通用TTL安全机制(GTSM)】（缩译）

原文 rfc5082 (ietf.org) The Generalized TTL Security Mechanism (GTSM) 通用TTL安全机制(GTSM)

概述

本文档为 Internet 社区指定了 Internet 标准跟踪协议，并请求讨论和改进建议。本协议的标准化状态和现状请参考当前版本的《互联网官方协议标准》（STD 1）
使用数据包的生存时间 (TTL) (IPv4) 或跳数限制 (IPv6) 来验证数据包是否由连接链路上的相邻节点发起，已在许多最近的协议中使用。本文档概括了此技术。本文档废弃了实验性 RFC3682。
目录

   1. 简介
   2. GTSM 的假设
     2.1. GTSM协商
     2.2. 关于攻击复杂性的假设
   3. GTSM 程序
   4. 致谢
   5. 安全考虑
     5.1. TTL（跳数限制）欺骗
     5.2. 隧道数据包
       5.2.1. 基于IP的IP隧道
       5.2.2. 基于MPLS的IP隧道
     5.3. 在线攻击者
     5.4. 分片注意事项
     5.5. 多跳协议会话
   6. 适用性声明
     6.1. 向后兼容
   7. 参考文献
     7.1. 规范参考
     7.2. 参考资料
   附录 A. 多跳 GTSM
   附录 B. 自 RFC 3682 以来的变化

1. 简介

通用 TTL 安全机制 (GTSM) 旨在保护路由器的基于 IP 的控制平面免受基于 CPU 使用率的攻击。
特别是，虽然密码技术可以保护基于路由器的基础设施（例如，BGP [RFC4271]、[RFC4272]）免受各种攻击，但可以通过本文档中描述的简单机制来防止许多基于 CPU 过载的攻击。请注意，相同的技术可以防止其他涉及路由器 CPU 的稀缺资源攻击，例如针对处理器线卡带宽的攻击。

GTSM 基于这样一个事实，即绝大多数协议对等互连都是在相邻路由器之间建立的。因此，大多数协议对等要么直接在连接的接口之间，要么最坏的情况下，在环回和环回之间，具有到环回的静态路由。由于 TTL 欺骗被认为几乎是不可能的，因此基于预期 TTL 值的机制可以提供一种简单而合理的稳健防御，防御基于来自网络外部的伪造协议数据包的基础设施攻击。但是请注意，GTSM 不能替代身份验证机制。
特别是，它不能抵御内部网络攻击，例如数据包欺骗或重放。

最后，GTSM 机制同样适用于 TTL(IPv4)和Hop Limit（IPv6），从GTSM的角度来看，TTL和Hop Limit有相同的语义。因此，在本文档的其余部分中，术语“TTL”用于指代 TTL 或跳跃限制（视情况而定）。

2. GTSM 的假设
GTSM 基于以下假设：
   1. 绝大多数协议对等点位于相邻路由器之间。
   2. 服务提供商可能会或可能不会在非可信链接上配置严格的入口过滤 [RFC3704]。如果需要最大程度的保护，则必须按照第 2.2 节中的说明进行此类过滤。
   3. GTSM 的使用是可选的，可以在每个对等（组）的基础上进行配置。
   4. 对等路由器都实现了 GTSM。
   5. 路由器支持使用单独资源池的方法（例如，队列、处理配额）用于不同分类的流量。

请注意，本文档没有规定路由器可能对不符合 GTSM 过滤规则的数据包应用的进一步限制，例如丢弃与任何配置协议会话不匹配的数据包和速率限制其余部分。本文档也不建议资源分离的实际方法，因为这些方法是特定于硬件和实现的。

但是，拒绝服务 (DoS) 攻击预防的可能性是基于这样的假设，即在数据包通过系统中的稀缺资源之前完成数据包的分类和路径的分离。实际上，GTSM 处理越接近线速硬件，系统就越能抵抗 DoS 攻击。

2.1. GTSM协商
本文档假设，当与现有协议一起使用时，GTSM 将在协议对等体之间手