Варианты ип: Налогообложение ИП, возможные варианты и режимы!
Как выбрать систему налогообложения для ИП?
ИПСейчас ФНС предлагает множество вариантов систем налогообложения для индивидуальных предпринимателей. К выбору нужно отнестись серьезно, так как от этого зависит, какие налоги вы будете платить. Причем, важно помнит, что у каждой системы есть свои требования и порой переход с одной на другую просто невозможен.
Итак, налоговые режимы, которые можно выбрать в России:
ОСНО
Общая система налогообложения. Этот режим считается основным, он применяется по умолчанию после регистрации бизнеса и подходит почти для любого вида деятельности. Если после регистрации не подать заявление на один из специальных налоговых режимов, вы будете работать на ОСНО. Перейти на УСН или ЕСХН можно будет только с 1 января следующего года.
Для применения ОСНО нет ограничений, но по нему надо платить НДС — сложный для расчета и уплаты налог. Самому вести учет и сдавать отчетность по ОСНО будет проблематично – необходим бухгалтер.
УСН Доходы
Самый популярный и самый простой вариант. ИП платит 6% со всех доходов, которые получает от клиентов. На этом режиме нельзя учитывать затраты, поэтому этот вариант подойдет, если расходы на бизнес небольшие.
УСН Доходы минус расходы
Налог рассчитывается от разницы между доходами и расходами, что уже понятно из названия. Если расходы больше 60%, скорее всего, выгоднее будет выбрать этот режим. Стандартная ставка на этом режиме — 15%, но в некоторых регионах действуют пониженные ставки.
При таком режиме расходы должны попадать под ваш вид деятельности. Товары должны быть проданы, а оплаты переведены поставщику. Важно все операции подтверждать документами: кассовым чеком, платежным поручением, товарной накладной, акт об оказании услуг или товарный чек. Если документов не будет — расходы не будут учитываться при расчете налога.
ЕНВД
Единый налог на вмененный доход. Это упрощенная система учета, которая освобождает от уплаты налогов на доходы физциц, на имущество и на добавленную стоимость. Но использовать эту систему можно не со всеми видами деятельности. На ЕНВД могут быть ветеринарные и бытовые услуги, перевозка пассажиров и грузов, торговля через автоматы, ремонт или мойка машин – полный список подходящих видов деятельности лучше уточнить в своей налоговой.
Для применения ЕНВД у ИП должно быть меньше 100 сотрудников. Если вы планируете совмещать несколько видов деятельности, то ЕНВД оформляется отдельно на каждый из них. Ставка ЕНВД — 15%. Уплата налога не зависит от того, есть ли доход, поэтому платить налог нужно будет даже при убытках.
ПСН или патент
Патентная система налогообложения. Этот режим имеет общие черты с ЕНВД. Есть схожие виды деятельности и еще подходит мелкое производство. В каждом регионе список разный, поэтому рекомендуем уточнить отдельно по своему региону.
Ставка патента составляет 6%. Оформляется патент, как и ЕНВД, на конкретный вид деятельности, поэтому если вы совмещаете несколько видов деятельности, то на каждый нужно покупать отдельный патент. Уплата тоже не зависит от дохода. Стоимость патента можно рассчитать в калькуляторе на сайте налоговой.
ЕСХН
Единый сельскохозяйственный налог. По нему нужно платить всего 6% от разницы доходов и расходов. Применять его можно, если занимаетесь сельскохозяйственным производством или рыбоводством.
Начинающие предприниматели обычно выбирают между тремя вариантами: УСН, ЕНВД или ПСН. Перейти на эти системы можно в личном кабинете на сайте налоговой.
Федеральная налоговая служба
После регистрации в качестве индивидуального предпринимателя вы продолжаете платить налоги, которые до этого уплачивали как физическое лицо.
4 налога, которые вы продолжаете платить
- Налог на доходы физических лиц (НДФЛ) – при получении заработной платы, а также доходов от продажи или сдачи в аренду недвижимости.
- Транспортный налог – если на вас зарегистрирован автомобиль.
- Земельный налог – если вы являетесь собственником (владельцем) участка земли.
По земельным участкам, используемым для предпринимательской деятельности, налог исчисляется и уплачивается индивидуальным предпринимателем самостоятельно. - Налог на имущество физических лиц – если вы собственник недвижимости (дачи, квартиры, гаража и пр.).
Кроме того, у вас появляется обязанность уплатить налог с доходов от предпринимательской деятельности. Вид и размер налогов, а также порядок их уплаты и представления отчетности определяются тем налоговым режимом (системой налогообложения), который вы выберете.
4 варианта уплаты налогов
- Общий налоговый режим
Специальные налоговые режимы
- Упрощенная система налогообложения (УСН).
- Патентная система налогообложения (ПСН).
- Единый сельскохозяйственный налог (ЕСХН).
Общий налоговый режим
Общий налоговый режим является основным и применяется по умолчанию, если индивидуальный предприниматель не подал в налоговый орган заявление о переходе на один из специальных налоговых режимов.
Главные налоги, которые предприниматель должен уплачивать при общем режиме:
Специальные налоговые режимы
Внимание!
Любой специальный налоговый режим предполагает замену нескольких основных налогов одним (единым).Страховые взносы
Может ли предприниматель совмещать применение обычной УСН и ПСН?
Да, эти режимы вполне совместимы. Список видов деятельности, по которым можно применять ПСН, приведен в гл. 26.5 Налогового кодекса и насчитывает 47 позиций. Если индивидуальный предприниматель одновременно занимается и видами деятельности, которых нет в этом списке, он вправе использовать по ним «упрощенку».
Особенности общей системы налогообложения для ИП
Плюсы ОСНО:
- нет ограничений по видам деятельности
- привлекательность для контрагентов, в связи с тем, что вы будете работать с НДС
- открытый перечень расходов, в целях уменьшения налоговой базы по НДФЛ
Минусы ОСНО:
- сложный учет (скорее всего, потребуется привлечь профессионального бухгалтера)
- большой объем отчетности (ежеквартально — обязательно, но может быть также и ежемесячная отчетность)
- большое количество и сумма уплачиваемых налогов
Варианты отчетности:
-
Самый простой вариант — ИП работает без наемных работников, не использует свое имущество в предпринимательских целях:
- НДФЛ (за себя) раз в год
- НДС ежеквартально
-
Чуть сложнее — ИП нанял работников:
- НДФЛ (за себя) раз в год
- НДФЛ (за работников) раз в год
- НДС ежеквартально
- отчетность в фонды по страховым взносам ежеквартально
-
ИП использует свое имущество в предпринимательской деятельности:
- Если ИП занимается чем-то специфическим, то может добавиться отчетность по акцизам, водному налогу и др.
Внимание!
ИП уплачивает страховые взносы за себя всегда! Независимо от того ведется деятельность или нет, какой режим налогообложения выбран, нанимались ли сотрудники и др.
Верный
шаг к успеху!
Верный
шаг к успеху!
Отчетность ИП на УСН без работников — Контур.Экстерн
УСН (упрощенная система налогообложения) — самый распространенный специальный режим уплаты налогов, который предусмотрен для малого и среднего бизнеса.
Авансовый платеж по налогу платится по итогам первого квартала, полугодия и девяти месяцев, а сам налог — по итогам года (ст. 346.21 НК РФ).
При этом собственник бизнеса сам принимает решение, какой объект налогообложения выбрать. Первый вариант — платить 6% от доходов и уменьшать налог на страховые взносы. Второй вариант — уплачивать 15% с разницы между доходами и расходами.
Если ИП находится на упрощенной системе налогообложения 6 % и не имеет в штате работников, он может существенно понизить сумму налога на страховые взносы в размере 100%. Воспользоваться этим правом можно лишь в том случае, когда страховые взносы фактически перечислены в ПФР.
Если объект налогообложения — доходы, уменьшенные на расходы, страховые взносы в полном объеме уменьшают налогооблагаемую базу.
Отчетность и платежи ИП на УСН
Во-первых, если в течение года книгу учета доходов и расходов вели в электронном виде, то по окончании года необходимо подготовить ее бумажный вариант: распечатать, прошить и пронумеровать.
Во-вторых,
Примите во внимание, что удобнее и выгоднее платить фиксированные платежи поквартально, чтобы сразу уменьшать авансовые платежи по налогу.
Налоги и взносы ИП на УСН
До 30.04.2021 необходимо оплатить сумму налога по УСН по итогам 2020 года.
Авансовые платежи за 1 квартал 2021 года потребуется оплатить до 26 апреля 2020 года, за полугодие — до 26 июля 2021 года, за 9 месяцев 2020 года — до 25 октября 2020 года.
Взносы за себя за 2021 год — до 31 декабря 2021 года.
3 месяца бесплатно пользуйтесь всеми возможностями Контур.Экстерна
Попробовать
Расчет заработной платы ИП — knopka.com
Как правильно рассчитать страховые взносы
Работодатель также обязан рассчитывать страховые взносы – порядок подробно описан в 34 главе Налогового кодекса. Например, в 2019 году пенсионные отчисления для большинства сотрудников составляли 22% от доходов. Медицинские взносы – 5,1% от оплаты, социальные – 2,9%. Если работник не является гражданином, ставка этих взносов – 1,8%. Однако законодательство постоянно меняется, поэтому важно отслеживать изменения в этой сфере.
Как и в случае с налоговыми выплатами, эти обязательные взносы следует делать вовремя. В данном случае – не позже 15 числа того месяца, который следует за отчетным периодом. Дополнительно работодатели делают взносы от несчастных случаев на производстве и заболеваний, которые могут достигать 8,5%. Однако на сумму этих выплат влияет множество факторов, главный из которых – наличие и степень рисков во время трудовой деятельности.
Для финансовых операций, расчета оплаты и проведения бюджетных платежей лучше нанять бухгалтера, поскольку все эти выплаты проводят для каждого сотрудника ИП и отдельно – по каждому виду взносов.
Как не допустить ошибок в расчетах
Ошибки со стороны ИП в начислении оплаты сотрудникам и внесении обязательных платежей чреваты санкциями со стороны контролирующих органов. В зависимости от того, в чем именно вы ошибетесь, может наступить административная или уголовная ответственность. Если какие-то обязательные платежи задерживаются, вам будут начислять пеню за каждый день просрочки. Если же работодатель сознательно уклоняется от налоговых выплат, это рассматривают как уголовное преступление.
Нельзя также забывать, что индивидуальные предприниматели обязаны подавать отчеты и платить страховые взносы до тех пор, пока их не снимут с учета. Соответственно, даже если вы фактически не работаете, но формально предприятие существует, важно вовремя подавать декларации.
Начисление оплаты сотрудникам – сложный процесс, вы можете ошибиться на любом из его этапов. Иногда предприниматели неосознанно допускают промахи на этапе сбора первичных документов, иногда забывают учесть больничные и отпуска. Одна из распространенных проблем – ошибки при расчете оплаты за год, определении средних показателей. Из-за этого неправильно высчитывают сумму тех же отпускных. Подобные недочеты чреваты искажением налоговой базы.
Чтобы избежать подобных нарушений, доверьте финансовые вопросы специалистам компании «Кнопка»! Вы можете проконсультироваться по поводу расчетов или заказать услугу онлайн, а также по телефонам, указанным на странице. Мы гарантируем точность и пунктуальность расчетов.
ИП 101 Гранат Извещатель пожарный тепловой взрывозащищенный
| Цена: по запросу | |
Взрывозащищенный пожарный тепловой извещатель максимального действия ИП 101 ГРАНАТ предназначен для передачи в шлейф пожарной сигнализации тревожного извещения при превышении температуры контролируемой среды заданного порога. |
Пороговая температура срабатывания легко переключается на месте эксплуатации и устанавливается на одно из трех значений: 70°С, 90°С, 120°С.
Извещатель имеет варианты исполнения по типу корпуса и термочувствительной части:
| Резервуарный | базовый вариант исполнения для резервуаров с ЛВЖ |
| Укороченный | вариант исполнения с укороченной термочувствительной частью для установки на вертикальных и горизонтальных элементах строительных конструкций |
| Потолочный | вариант для монтажа на потолках помещений, по конструкции корпуса может быть как двухвводным (проходным), так и одновводным (оконечным) |
Взрывозащищенный тепловой извещатель ИП 101 Гранат предназначен для установки во взрывоопасных зонах класса 0 и ниже по ГОСТ Р 51330.9, и включается в искробезопасные шлейфы сигнализации приборов серии Яхонт И или других ППКП, искробезопасные электрические цепи которых имеют параметры, позволяющие подключать данный извещатель.
Извещатель имеет маркировку взрывозащиты: 0ExiaIIBT6, маркировку параметров искрозащиты: «Li:1 мкГн, Сi: 1200 пФ, Ui: 27B, Ii: 13,5 мА, Рi:0,4 Вт» по ГОСТ Р 51330.0 и ГОСТ Р 51330.10.
Вне взрывоопасных зон извещатель может работать практически с любыми типами ППКП.
При этом, извещатель включается в шлейф сигнализации без дополнительных токоограничительных элементов (имеется внутренний токоограничительный резистор сопротивлением 2кОм), но с дополнительным диодом при знакопеременном напряжении в шлейфе (что вызвано униполярностью извещателя).
Тревожное извещение обеспечивается комплексом двух сигналов: электрическим, выражающимся в увеличении тока через извещатель, и световым — загорается светодиод. При понижении температуры на 5…10ºС относительно пороговой, извещатель возвращается в дежурный режим.
Корпус взрывозащищенного теплового извещателя ИП 101 выполнен из ударопрочного армамида, что позволило снизить массогабаритные показатели с сохранением прочностных, и обладает высокой герметичностью и пылевлагозащищенностью (IP67).
Каждый извещатель комплектуется парой штуцеров под трубную разводку, но по желанию заказчика может быть переукомплектован штуцерами под бронекабель или металлорукав.
Термочувствительный элемент извещателя является устойчивым к агрессивным средам. Класс химстойкости извещателя — Х3. Средний срок службы извещателя не менее 10 лет.
Технические характеристики взрывозащищенного теплового извещателя ИП 101 Гранат:
| Маркировка взрывозащиты | 0ExiaIIBT6 |
| Температура срабатывания , °С | 70, 90, 120 |
| Точность установки температуры срабатывания | ± 5% |
| Время срабатывания при превышении пороговой температуры, сек, не более | 15 |
| Диапазон рабочих напряжений, В | 4… 27 |
| Ток через извещатель при напряжении в шлейфе сигнализации 24В: | |
| — в дежурном режиме, мА не более | 0,1 |
| — в режиме пожара, мА | 11,0±0,5 |
| Степень защиты оболочки | IP67 |
| Класс химстойкости | X3 |
| Температура окружающей среды , °С | от -55 до +85 |
| Габариты, мм, не более | |
| — Обычный вариант | 230х80х265 |
| — Укороченный вариант | 230х80х220 |
| — Потолочный вариант | 230х110х100 |
| — Потолочный вариант 1КВ | 160х110х100 |
| Масса, кг, не более | 0,6 |
| Извещатели тепловые ИП101 Гранат внесены в номенклатурный Справочник МТР ОАО «Газпром». Коды МТР 2149520, 2149521 |
Документация:
Руководство по эксплуатации СПР.425212.001 РЭ
Схемы подключения:
Сертификаты:
Сертификат пожарной безопасности
Ех сертификат
Какую систему налогообложения выбрать для ИП в Москве?
- Подборка
- 5 инструкций
На общем налоговом режиме индивидуальные предприниматели должны уплачивать налог на доходы физических лиц, налог на имущество и ряд других налогов. Но для упрощения взаимодействия с налоговой службой, ИП могут выбрать другие системы налогообложения: упрощенную систему налогообложения, патент или единый сельскохозяйственный налог.
- Как оформить налоговый патент
Что такое патентная система налогообложения и для каких видов деятельности ее можно применять. Кто и как может перейти на ПНС. Сколько стоит патент для ИП
- Как уплатить НДФЛ
Что такое НДФЛ и кто обязан его платить. Когда нужно самостоятельно подавать декларацию. Как правильно заполнить декларацию 3-НДФЛ и уплатить подоходный налог
- Как рассчитывается налог на имущество
Как рассчитывается налог на имущество в Москве. Где узнать актуальные налоговые ставки. Кто имеет право на льготы по имущественному налогу. Как сообщить в налоговую о своем имуществе
- Как перейти на единый сельскохозяйственный налог
Кто может использовать ЕСХН. От каких налогов освобождаются предприниматели, перешедшие на ЕСХН. Как заполнить налоговую декларацию по ЕСХН
- Как перейти на упрощенную систему налогообложения
Что такое упрощенная система налогообложения для индивидуальных предпринимателей. От каких налогов освобождаются индивидуальные предприниматели на УСН. Как и когда ИП может перейти на УСН, какой срок подачи налоговой отчетности
| 0 | 0 | 0 | 0 | EOOL - Конец списка опций | [RFC791] [Jon_Postel] |
| 0 | 0 | 1 | 1 | NOP - Нет работы | [RFC791] [Jon_Postel] |
| 1 | 0 | 2 | 130 | SEC - Безопасность | [RFC1108] |
| 1 | 0 | 3 | 131 | LSR - Маршрут свободного источника | [RFC791] [Jon_Postel] |
| 0 | 2 | 4 | 68 | TS - отметка времени | [RFC791] [Jon_Postel] |
| 1 | 0 | 5 | 133 | E-SEC - Расширенная безопасность | [RFC1108] |
| 1 | 0 | 6 | 134 | CIPSO - Коммерческая безопасность | [draft-ietf-cipso-ipsecurity-01] |
| 0 | 0 | 7 | 7 | RR - Рекордный маршрут | [RFC791] [Jon_Postel] |
| 1 | 0 | 8 | 136 | SID - идентификатор потока | [RFC791] [Jon_Postel] [RFC6814] [1] |
| 1 | 0 | 9 | 137 | SSR - Маршрут строгого источника | [RFC791] [Jon_Postel] |
| 0 | 0 | 10 | 10 | ЗСУ - Экспериментальные измерения | [ZSu] |
| 0 | 0 | 11 | 11 | MTUP - зонд MTU | [RFC1063] [RFC1191] [1] |
| 0 | 0 | 12 | 12 | MTUR - Ответ MTU | [RFC1063] [RFC1191] [1] |
| 1 | 2 | 13 | 205 | FINN - экспериментальный контроль потока | [Greg_Finn] |
| 1 | 0 | 14 | 142 | VISA - экспериментальный контроль доступа | [Дебора_Эстрин] [RFC6814] [1] |
| 0 | 0 | 15 | 15 | КОДИРОВАТЬ - ??? | [VerSteeg] [RFC6814] [1] |
| 1 | 0 | 16 | 144 | IMITD - Дескриптор трафика IMI | [Ли] |
| 1 | 0 | 17 | 145 | EIP - Расширенный интернет-протокол | [RFC1385] [RFC6814] [1] |
| 0 | 2 | 18 | 82 | TR - Traceroute | [RFC1393] [RFC6814] [1] |
| 1 | 0 | 19 | 147 | ADDEXT - добавочный адрес | [Ullmann IPv7] [RFC6814] [1] |
| 1 | 0 | 20 | 148 | RTRALT - Предупреждение маршрутизатора | [RFC2113] |
| 1 | 0 | 21 | 149 | SDB - селективное направленное вещание | [Charles_Bud_Graff] [RFC6814] [1] |
| 1 | 0 | 22 | 150 | - Не назначен (выпущен 18 октября 2005 г.) | |
| 1 | 0 | 23 | 151 | DPS - динамическое состояние пакета | [Andy_Malis] [RFC6814] [1] |
| 1 | 0 | 24 | 152 | UMP - пакет многоадресной передачи восходящего потока. | [Dino_Farinacci] [RFC6814] [1] |
| 0 | 0 | 25 | 25 | QS - Быстрый старт | [RFC4782] |
| 0 | 0 | 30 | 30 | EXP - эксперимент в стиле RFC3692 [2] | [RFC4727] |
| 0 | 2 | 30 | 94 | EXP - эксперимент в стиле RFC3692 [2] | [RFC4727] |
| 1 | 0 | 30 | 158 | EXP - эксперимент в стиле RFC3692 [2] | [RFC4727] |
| 1 | 2 | 30 | 222 | EXP - эксперимент в стиле RFC3692 [2] | [RFC4727] |
Структура дейтаграммы IPДейтаграмма IP выглядит так: Поля дейтаграммы поясняются ниже:
Опции IPПоле для опций может быть, а может и не быть. Если он есть, то он может быть разной длины. Поле опции содержит октет Option-Type , октет Option-Length и переменное число Опция-данные октет.
Параметры IP не часто используются сегодня, вы можете встретить IP-маршрутизацию от источника (свободную или строгую) на машинах Unix и т.п., возможно для балансировки нагрузки трафика, где не используются современные протоколы маршрутизации. Тип обслуживания (TOS) ПолеНа следующей диаграмме подробно показано поле TOS: Приоритет — В следующей таблице подробно описаны биты приоритета и их возможные значения:
Теперь сами биты TOS:
Что нужно помнить о битах TOS, так это то, что биты, установленные в 1, в основном помогают ускорить поток пакетов. Тип обслуживания (TOS) на самом деле никогда не использовался, несмотря на то, что долгое время являлся частью TCP / IP. время.Он имеет три параметра: задержка , пропускная способность и надежность . TOS Application Routing поддерживается OSPF и IS-IS, но ни одно приложение не поддерживает его. RFC 791 описывает TOS со значениями приоритета IP и RFC 1583 описывает маршрутизацию приложений TOS. Поле TOS было переопределено как кодовая точка дифференцированных услуг (DSCP) , которая состоит из первые 6 бит и 2 нераспределенных.Дополнительные сведения о приоритете IP-адреса и DSCP см. Качество обслуживания. Полный список назначений IANA для портов, протоколов и т. Д. Можно найти на странице http://www.iana.org/numbers.html. |
draft-ietf-opsec-ip-options-filtering-07
Возможности оперативной безопасности для F. Gont
Инфраструктура IP-сети (opsec) Сети UTN-FRH / SI6
Интернет-проект Р.Аткинсон
Предполагаемый статус: Консультант BCP
Истекает: 12 июня 2014 г. C. Pignataro
Cisco
9 декабря 2013 г.
Рекомендации по фильтрации пакетов IPv4, содержащих параметры IPv4.
черновик-ietf-opsec-IP-параметры-фильтрация-07
Абстрактный
В этом документе содержатся советы по фильтрации пакетов IPv4 на основе
о параметрах IPv4, которые они содержат.Кроме того, обсуждается
последствия отбрасывания пакетов для работы и взаимодействия
на основе содержащихся в них параметров IP.
Статус этого меморандума
Данный Интернет-проект представлен в полном соответствии с
положения BCP 78 и BCP 79.
Интернет-проекты - это рабочие документы Интернет-инжиниринга.
Целевая группа (IETF). Обратите внимание, что другие группы также могут распространять
рабочие документы в виде Интернет-проектов. Список актуальных Интернет-
Черновики находятся по адресу http: // datatracker.ietf.org/drafts/current/.
Интернет-проекты - это проекты документов, срок действия которых составляет не более шести месяцев.
и могут быть обновлены, заменены или исключены другими документами в любое время
время. Использовать Интернет-черновики в качестве справочника неуместно.
материала или цитировать их иначе, как «незавершенная работа».
Срок действия этого Интернет-проекта истекает 12 июня 2014 года.
Уведомление об авторских правах
Авторские права (c) IETF Trust 2013 г. и лица, указанные в качестве
авторы документа. Все права защищены.
Этот документ подпадает под действие BCP 78 и Правового регулирования IETF Trust.
Положения, касающиеся документов IETF
(http: // попечитель.ietf.org/license-info) действует на дату
публикация этого документа. Пожалуйста, просмотрите эти документы
внимательно, поскольку они уважительно описывают ваши права и ограничения
к этому документу. Компоненты кода, извлеченные из этого документа, должны
включить упрощенный текст лицензии BSD, как описано в Разделе 4.e
Гонт и др. Истекает 12 июня 2014 г. [Страница 1]
Интернет-фильтрация пакетов с IP-опцией, декабрь 2013 г.
Правовые положения Trust и предоставляются без гарантии, как
описано в упрощенной лицензии BSD.Оглавление
1. Введение . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.1. Терминология и условные обозначения, используемые в этом документе. . . . 3
1.2. Оперативный фокус. . . . . . . . . . . . . . . . . . . . 4
2. Параметры IP. . . . . . . . . . . . . . . . . . . . . . . . . . 4
3. Общие последствия использования IP-адресов для безопасности. . . . . . . . . 5
3.1. Требования к обработке. . . . . . . . . . . . . . . . . 5
4. Рекомендации по обработке пакетов с определенными параметрами IP.. 7
4.1. Конец списка опций (Type = 0). . . . . . . . . . . . . . 7
4.2. Нет операции (тип = 1). . . . . . . . . . . . . . . . . 7
4.3. Свободный маршрут источника и записи (LSRR) (Type = 131). . . . 8
4.4. Строгий маршрут источника и записи (SSRR) (Type = 137). . . . 10
4.5. Запись маршрута (Тип = 7). . . . . . . . . . . . . . . . . 11
4.6. Идентификатор потока (Type = 136) (устаревший). . . . . . . . 12
4.7. Метка времени в Интернете (тип = 68). . . . . . . .. . . . . . 13
4.8. Предупреждение маршрутизатора (Type = 148). . . . . . . . . . . . . . . . 14
4.9. Probe MTU (Type = 11) (устарело). . . . . . . . . . . . . 15
4.10. MTU ответа (Type = 12) (устарело). . . . . . . . . . . . . 16
4.11. Traceroute (Тип = 82). . . . . . . . . . . . . . . . . . 16
4.12. Опция базовой безопасности DoD (тип = 130). . . . . . . . . . 17
4.13. Опция расширенной безопасности Министерства обороны США (Тип = 133). . . . . . . . 20
4.14. Вариант коммерческой защиты IP (CIPSO) (тип = 134).. . . 22
4.15. ВИЗА (Тип = 142). . . . . . . . . . . . . . . . . . . . 23
4.16. Расширенный интернет-протокол (тип = 145). . . . . . . . . 23
4.17. Расширение адреса (тип = 147). . . . . . . . . . . . . . 24
4.18. Доставка в несколько пунктов назначения, направленная отправителем (тип = 149). 25
4.19. Состояние динамического пакета (Тип = 151). . . . . . . . . . . . 25
4.20. Upstream Multicast Pkt. (Тип = 152). . . . . . . . . . . 26
4.21. Быстрый запуск (тип = 25). . . . . . . . .. . . . . . . . 27
4.22. Эксперимент в стиле RFC3692 (типы = 30, 94, 158 и 222). 28 год
4.23. Другие варианты IP. . . . . . . . . . . . . . . . . . . . . 28 год
5. Соображения IANA. . . . . . . . . . . . . . . . . . . . . 30
6. Соображения безопасности. . . . . . . . . . . . . . . . . . . 30
7. Благодарности. . . . . . . . . . . . . . . . . . . . . . . 30
8. Ссылки. . . . . . . . . . . . . . . . . . . . . . . . . . 31 год
8.1. Нормативные ссылки . . . . . .. . . . . . . . . . . . . 31 год
8.2. Информативные ссылки. . . . . . . . . . . . . . . . . . 31 год
Адреса авторов. . . . . . . . . . . . . . . . . . . . . . . . 35 год
Гонт и др. Истекает 12 июня 2014 г. [Страница 2] Интернет-фильтрация пакетов с IP-опцией, декабрь 2013 г. 1. Введение В этом документе обсуждается фильтрация пакетов IPv4 на основе Они содержат параметры IPv4. Поскольку различные протоколы могут использовать IPv4 опций до некоторой степени, отбрасывая пакеты на основе опций, которые они содержать может повлиять на правильное функционирование протокол.Таким образом, в этом документе делается попытка обсудить последствия такого отключения для эксплуатации и взаимодействия. Кроме того, в нем описывается, что сетевой оператор может делать в типичная среда предприятия или поставщика услуг. Этот документ также основан на [RFC6274] и частично унаследован от него, который также получил обзор от оперативного сообщества. Мы отмечаем, что данные, кажется, указывают на то, что широко распространенная практика блокировки пакетов с опцией IPv4. Есть различные правдоподобные подходы к минимизации потенциальных негативных эффекты пакетов с опциями IPv4 при разрешении некоторых опций семантика.Один из подходов состоит в том, чтобы разрешить определенные варианты, которые ожидаемый или необходимый, а по умолчанию - отказ. Другой подход - запретить ненужные параметры и разрешить по умолчанию. Но третий возможен подход состоит в том, чтобы разрешить сквозную семантику, игнорируя параметры и обработка пакетов как неактивных во время передачи. Эксперименты и имеющиеся в настоящее время данные, как правило, подтверждают первое или третье подходит как более реалистичный. Некоторые результаты относительно текущего положение дел в отношении отбрасывания пакетов, содержащих IP варианты можно найти в [MEDINA] [FONSECA].Кроме того, [BREMIER-BARR] указывает, что в развернутом Интернете уже есть много маршрутизаторы, которые не обрабатывают параметры IP. Мы также отмечаем, что хотя в этом документе даются советы по удалению пакеты на "тип опции IP", а не все устройства (маршрутизаторы, безопасность шлюзы и брандмауэры) могут предоставить эту возможность с такими детализация. Кроме того, даже в тех случаях, когда такая функциональность предоставляется, оператор может захотеть указать политику отбрасывания с более грубой степенью детализации (а не по типу параметра «на каждый IP-адрес») гранулярность), как указано выше.Наконец, в сценариях, в которых обработка опций IP промежуточных систем не требуется, широко распространенный подход заключается в просто игнорируйте параметры IP и обрабатывайте соответствующие пакеты, как если бы они не содержат параметров IP. 1.1. Терминология и условные обозначения, используемые в этом документе Термины "быстрый путь", "медленный путь" и связанные с ними относительные термины («более быстрый путь» и «более медленный путь») в общих чертах определяются, как в разделе 2 из [RFC6398]. Гонт и др. Истекает 12 июня 2014 г. [Страница 3]
Интернет-фильтрация пакетов с IP-опцией, декабрь 2013 г.
Поскольку этот документ ориентирован на безопасность, мы
умышленное включение некоторых исторических цитат.Это
преднамеренно и имеет цель явно сохранить и показать
история, а также устранение двусмысленности и путаницы.
Ключевые слова «ДОЛЖНЫ», «НЕ ДОЛЖНЫ», «ОБЯЗАТЕЛЬНО», «ДОЛЖНЫ», «НЕ ДОЛЖНЫ»,
«ДОЛЖЕН», «НЕ ДОЛЖЕН», «РЕКОМЕНДУЕТСЯ», «МОЖЕТ» и «ДОПОЛНИТЕЛЬНО» в этом
документ следует интерпретировать, как описано в [RFC2119].
1.2. Операционная направленность
Все рекомендации в этом документе были сделаны в
усилия по оптимизации для достижения консенсуса операционного сообщества, как лучше всего
редакторы смогли это определить.Это включало не только
принимать отзывы из публичных списков, но также принимать вне списка
обратная связь от людей в различных сетевых операторах (например, интернет-провайдеров,
контент-провайдеры, учебные заведения, коммерческие фирмы).
2. Параметры IP
Параметры IP позволяют расширять Интернет-протокол. В виде
указано в [RFC0791], есть два случая для формата
вариант:
o Случай 1: один байт типа опции.
o Случай 2: байт типа опции, байт длины опции и фактическое
байты данных-опций.Параметры IP в случае 1 имеют следующий синтаксис:
+ - + - + - + - + - + - + - + - + - - - - - - - - -
| вариант-тип | option-data
+ - + - + - + - + - + - + - + - + - - - - - - - - -
Длина IP-опций в случае 1 неявно определяется
байт типа опции.
Параметры IP случая 2 имеют следующий синтаксис:
+ - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - - - - - - - - - -
| вариант-тип | опция-длина | option-data
+ - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - - - - - - - - - -
В этом случае байт длины опции подсчитывает байт типа опции и
байт длины опции, а также фактические байты данных опции.Гонт и др. Истекает 12 июня 2014 г. [Страница 4] Интернет-фильтрация пакетов с IP-опцией, декабрь 2013 г. Все текущие и будущие варианты, кроме «Конец списка вариантов» (Type = 0) и «Не работает» (Тип = 1) относятся к Классу 2. Тип опции имеет три поля: o 1 бит: флаг скопирован. o 2 бита: класс опции. o 5 бит: номер опции. Флаг копирования указывает, следует ли копировать эту опцию на все фрагменты в случае, если пакет, содержащий его, должен быть фрагментирован: o 0 = не копируется.o 1 = скопировано. Значения для класса опции: o 0 = контроль. o 1 = зарезервировано для использования в будущем. o 2 = отладка и измерение. o 3 = зарезервировано для использования в будущем. Этот формат позволяет создавать новые опции для расширения. Интернет-протокола (IP). Наконец, номер опции определяет синтаксис остальной части вариант. Реестр «НОМЕРА ОПЦИЙ IP» [IANA-IP] содержит список присвоенные в настоящее время номера IP-опций. 3. Общие последствия использования IP-адресов для безопасности 3.1. Требования к обработке Исторически сложилось так, что большинство IP-маршрутизаторов использовали ЦП общего назначения для обработки IP-пакеты и пересылать их к месту назначения. Тот же процессор обычно также обрабатывается трафик управления сетью (например, SNMP), команды конфигурации (например, интерфейс командной строки) и различные протоколы маршрутизации (например, RIP, OSPF, BGP, IS-IS) или другой контроль протоколы (например, RSVP, ICMP). В таких архитектурах Гонт и др. Истекает 12 июня 2014 г. [Страница 5]
Интернет-фильтрация пакетов с IP-опцией, декабрь 2013 г.
общий для ЦП общего назначения также для выполнения любого пакета
фильтрация, которая была включена на маршрутизаторе (или интерфейсе маршрутизатора).IP-маршрутизатор, построенный с использованием этой архитектуры, часто имеет значительную
(Распределенный) риск атаки типа "отказ в обслуживании" (DDOS), если маршрутизатор
плоскость управления (например, ЦП) перегружена большим количеством IPv4
пакеты, содержащие параметры IPv4.
Примерно с 1995 г. все большее количество IP-маршрутизаторов
встроенная специализированная микросхема обработки IP-пакетов (например, ПЛИС,
ASIC), тем самым отделяя функцию пересылки IP-пакетов от
другие функции роутера. Такие архитектуры маршрутизаторов обычно
более устойчив к DDOS-атакам, которые можно увидеть в глобальном
общедоступный Интернет.В зависимости от различных реализаций и
детали конфигурации, маршрутизаторы с пересылкой пакетов кремния
движок может обрабатывать большие объемы IP-пакетов, содержащих параметры IP.
без какого-либо неблагоприятного воздействия на скорость пересылки пакетов или на
плоскость управления маршрутизатора (например, ЦП общего назначения). Некоторый
В реализациях есть ручка настройки, позволяющая просто пересылать все IP-адреса.
пакеты, содержащие параметры IP, на скорости провода в кремнии, как если бы IP
пакет не содержал опции IP («игнорировать опции и пересылать»).Другие реализации поддерживают пакет на основе кремния со скоростью проводной сети.
фильтрация, тем самым позволяя пакетам, содержащим определенные параметры IP,
быть выборочно отброшены ("отброшены"), пакеты, содержащие некоторые другие IP
параметры, чтобы эти параметры IP игнорировались ("игнорировать параметры &
forward "), а другие пакеты, содержащие различные параметры IP, должны иметь
эти параметры обрабатываются либо на ЦП общего назначения, либо с использованием
настраиваемая логика (например, FPGA, ASIC) во время пересылки пакета
("вариант процесса и вперед").Вообще говоря, любой IP-пакет, требующий обработки IP
ЦП общего назначения маршрутизатора может представлять опасность DDOS для маршрутизатора.
универсальный процессор (а затем и сам маршрутизатор). Однако на
присутствуют особые архитектурные и инженерные детали
конкретный рассматриваемый IP-маршрутизатор важно понимать
при оценке операционных рисков безопасности, связанных с
конкретный тип IP-пакета или тип опции IP.
Операторам настоятельно рекомендуется рассмотреть возможность фильтрации IP-адресов и IP-адресов.
возможности обработки потенциальных IP-маршрутизаторов при развертывании
решения в будущем.Дополнительные соображения по защите плоскости управления от
пакеты, содержащие параметры IP, можно найти в [RFC6192].
Наконец, помимо рекомендаций операторам, этот документ также
предоставляет рекомендации для маршрутизатора, шлюза безопасности и брандмауэра
разработчикам с точки зрения предоставления возможности фильтрации пакетов
с разной степенью детализации: как по типу параметра «на каждый IP-адрес»)
Гонт и др. Истекает 12 июня 2014 г. [Страница 6] Интернет-фильтрация пакетов с IP-опцией, декабрь 2013 г. детальность (для максимальной гибкости), а также более грубые фильтры (чтобы минимизировать сложность настройки).4. Рекомендации по обработке пакетов с определенными параметрами IP. В следующих подразделах содержится описание каждого IP-адреса. варианты, которые были указаны до сих пор, обсуждение возможных последствия для взаимодействия, если пакеты, содержащие такие параметры отброшен, и конкретный совет о том, следует ли отбрасывать пакеты, содержащие эти варианты на типичном предприятии или у поставщика услуг среда. 4.1. Конец списка опций (тип = 0) 4.1.1. Использует Эта опция используется для обозначения «конца опций» в тех случаях. в котором конец вариантов не совпадал бы с концом Заголовок интернет-протокола.4.1.2. Спецификация опции Указано в RFC 791 [RFC0791]. 4.1.3. Угрозы Для этого варианта IPv4 не известно никаких конкретных проблем безопасности. 4.1.4. Влияние на работу и совместимость в случае блокировки Пакеты, содержащие любые параметры IP, скорее всего, будут включать конец Список опций. Следовательно, если пакеты, содержащие эту опцию, упал, вполне вероятно, что законный трафик заблокирован. 4.1.5. Совет Маршрутизаторы, шлюзы безопасности и межсетевые экраны НЕ ДОЛЖНЫ сбрасывать пакеты. потому что они содержат эту опцию.4.2. Нет операции (тип = 1) 4.2.1. Использует Параметр отсутствия операции в основном предназначен для того, чтобы разрешить отправку система для выравнивания последующих опций, например, в 32-битной границы. Гонт и др. Истекает 12 июня 2014 г. [Страница 7]
Интернет-фильтрация пакетов с IP-опцией, декабрь 2013 г. 4.2.2. Спецификация опции Указано в RFC 791 [RFC0791]. 4.2.3. Угрозы Для этого варианта IPv4 не известно никаких конкретных проблем безопасности.4.2.4. Влияние на работу и совместимость в случае блокировки Пакеты, содержащие любые параметры IP, скорее всего, будут содержать No Вариант эксплуатации. Следовательно, если пакеты, содержащие эту опцию, упал, вполне вероятно, что законный трафик заблокирован. 4.2.5. Совет Маршрутизаторы, шлюзы безопасности и межсетевые экраны НЕ ДОЛЖНЫ сбрасывать пакеты. потому что они содержат эту опцию. 4.3. Свободный маршрут источника и записи (LSRR) (тип = 131) RFC 791 утверждает, что этот параметр должен появляться не более одного раза в заданном пакет.Таким образом, если пакет содержит более одной опции LSRR, он следует отбросить, и это событие должно быть зарегистрировано (например, счетчик может быть увеличен, чтобы отразить отбрасывание пакета). Кроме того, пакеты, содержащие комбинацию опций LSRR и SSRR, должны быть сброшен, и это событие должно быть зарегистрировано (например, счетчик может быть увеличивается, чтобы отразить отбрасывание пакета). 4.3.1. Использует Эта опция позволяет исходной системе указать количество промежуточные системы, через которые должен пройти пакет, чтобы добраться до целевой хост.Кроме того, маршрут, по которому следует пакет, записано в опции. Принимающий хост (конечная система) должен использовать обратный пути, содержащемуся в полученной опции LSRR. Опция LSSR может помочь при отладке некоторых сетевых проблем. Некоторые соглашения о пиринге ISP (Internet Service Provider) требуют поддержка этой опции в маршрутизаторах в пределах однорангового провайдера. 4.3.2. Спецификация опции Указано в RFC 791 [RFC0791]. Гонт и др. Истекает 12 июня 2014 г. [Страница 8]
Интернет-фильтрация пакетов с IP-опцией, декабрь 2013 г.
4.3.3. Угрозы
Опция LSRR имеет хорошо известные последствия для безопасности [RFC6274].
Помимо прочего, опцию можно использовать для:
o Обойти правила брандмауэра.
o Достигайте недоступных иным образом интернет-систем.
o Устанавливать TCP-соединения незаметно.
o Узнайте о топологии сети.
o Выполнять атаки с истощением полосы пропускания.
Из этих векторов атаки тот, который, вероятно, получил меньше всего
внимание - использование опции LSRR для определения пропускной способности
приступы истощения.Опция LSRR может использоваться как усиление
метод выполнения атак с истощением полосы пропускания, в качестве злоумышленника
может заставить пакет отскочить несколько раз между несколькими системами
тщательно разработав вариант LSRR.
Это IPv4-версия атаки с усилением IPv6, которая была
получил широкую огласку в 2007 г. [Biondi2007]. Единственная разница
что максимальная длина заголовка IPv4 (и, следовательно, LSRR
option) ограничивает коэффициент усиления по сравнению с IPv6
контрагент.Кроме того, было обнаружено, что некоторые реализации не включают
надлежащие проверки работоспособности опции LSRR, что приводит к безопасности
вопросы. Считается, что эти конкретные проблемы решены во всех
современные реализации.
[Microsoft1999] - это предупреждение по безопасности об уязвимости.
возникает из-за неправильной проверки поля указателя LSRR
вариант.
Наконец, отметим, что некоторые системы были известны тем, что предоставляли систему:
широкий переключатель, чтобы включить поддержку этого параметра для тех сценариев в
что эта опция обязательна.Однако неправильная реализация
такое общесистемное переключение заставило эти системы поддерживать LSRR
вариант, даже если явно настроен не делать этого.
[OpenBSD1998] - это предупреждение о ненадлежащем
реализация такого общесистемного переключателя в ядрах 4.4BSD.
Эта проблема была решена в более поздних версиях соответствующего
Операционная система.
Гонт и др. Истекает 12 июня 2014 г. [Страница 9] Интернет-фильтрация пакетов с IP-опцией, декабрь 2013 г. 4.3.4. Влияние на работу и совместимость в случае блокировки Методы устранения неполадок сети, в которых может использоваться опция LSRR (например, ping или traceroute с соответствующими аргументами) прерывание при использовании опции LSRR (ping и traceroute без IPv4 варианты не затронуты). Тем не менее, следует отметить, что это практически невозможно использовать опцию LSRR для поиска и устранения неисправностей, из-за повсеместного отбрасывания пакетов, содержащих такую опцию. 4.3.5. Совет Маршрутизаторы, шлюзы безопасности и межсетевые экраны ДОЛЖНЫ реализовывать опцию: специальная ручка конфигурации, будут ли пакеты с этой опцией отброшены, пакеты с этой опцией IP пересылаются, как если бы они не содержат эту опцию IP, или пакеты с этой опцией обрабатываются и перенаправлено согласно [RFC0791].Значение по умолчанию для этого регулятора ДОЛЖНО быть "drop", и установка по умолчанию ДОЛЖНА быть задокументирована. Обратите внимание, что обработка пакетов с LSRR так, как если бы они не содержать этот параметр может привести к отправке таких пакетов в другое устройство, которое изначально предназначалось. С участием соответствующая входящая фильтрация, это не должно открывать вектор атаки в инфраструктуру. Тем не менее, это может привести к пробкам который никогда не достигнет первоначально намеченного пункта назначения.Падение эти пакеты предотвращают ненужный сетевой трафик и не делают сквозное общение хуже. 4.4. Строгий маршрут источника и записи (SSRR) (Type = 137) 4.4.1. Использует Эта опция позволяет исходной системе указать количество промежуточные системы, через которые должен пройти пакет, чтобы добраться до целевой хост. Кроме того, маршрут, по которому следует пакет, записано в опции, и целевой хост (конечная система) должен используйте обратный путь, указанный в полученной опции SSRR.Эта опция аналогична Loose Source and Record Route (LSRR). вариант, с той лишь разницей, что в случае SSRR маршрут в опции указан точный маршрут, по которому должен пройти пакет (то есть никакие другие промежуточные маршрутизаторы не могут быть на маршруте). Параметр SSSR может помочь при отладке некоторых сетевых проблем. Некоторые соглашения о пиринге ISP (Internet Service Provider) требуют поддержка этой опции в маршрутизаторах в пределах однорангового провайдера. Гонт и др.Истекает 12 июня 2014 г. [Страница 10]
Интернет-фильтрация пакетов с IP-опцией, декабрь 2013 г. 4.4.2. Спецификация опции Указано в RFC 791 [RFC0791]. 4.4.3. Угрозы Опция SSRR имеет те же последствия для безопасности, что и LSRR. вариант. Пожалуйста, обратитесь к Разделу 4.3 для обсуждения таких последствия для безопасности. 4.4.4. Влияние на работу и совместимость в случае блокировки Методы устранения неполадок сети, которые могут использовать опцию SSRR (например, ping или traceroute с соответствующими аргументами) обрыв при использовании опции SSRR (ping и traceroute без IPv4 варианты не затронуты).Тем не менее, следует отметить, что это практически невозможно использовать опцию SSRR для поиска неисправностей, из-за повсеместного отбрасывания пакетов, содержащих такую опцию. 4.4.5. Совет Маршрутизаторы, шлюзы безопасности и межсетевые экраны ДОЛЖНЫ реализовывать опцию: специальная ручка конфигурации, будут ли пакеты с этой опцией отброшены, пакеты с этой опцией IP пересылаются, как если бы они не содержат эту опцию IP, или пакеты с этой опцией обрабатываются и перенаправлено согласно [RFC0791].Значение по умолчанию для этого регулятора ДОЛЖНО быть "drop", и установка по умолчанию ДОЛЖНА быть задокументирована. Обратите внимание, что обработка пакетов с SSRR так, как если бы они не содержать этот параметр может привести к отправке таких пакетов в другое устройство, которое изначально предназначалось. С участием соответствующая входящая фильтрация, это не должно открывать вектор атаки в инфраструктуру. Тем не менее, это может привести к пробкам который никогда не достигнет первоначально намеченного пункта назначения.Падение эти пакеты предотвращают ненужный сетевой трафик и не делают сквозное общение хуже. 4.5. Запись маршрута (тип = 7) 4.5.1. Использует Эта опция предоставляет средства для записи маршрута, по которому данный пакет следует. 4.5.2. Спецификация опции Указано в RFC 791 [RFC0791]. Гонт и др. Истекает 12 июня 2014 г. [Страница 11]
Интернет-фильтрация пакетов с IP-опцией, декабрь 2013 г. 4.5.3. Угрозы Эту опцию можно использовать для отображения топологии сети.Однако ограниченное пространство в IP-заголовке ограничивает полезность этот вариант для этой цели. 4.5.4. Влияние на работу и совместимость в случае блокировки Методы устранения неполадок сети, которые могут использовать опцию RR (например, ping с опцией RR) не работает при использовании RR вариант (пинг без параметров IPv4 не влияет). Тем не менее, это Следует отметить, что использовать такие методы из-за широко распространенного отбрасывания пакетов, содержащих RR параметры.4.5.5. Совет Маршрутизаторы, шлюзы безопасности и межсетевые экраны ДОЛЖНЫ реализовывать опцию: специальная ручка конфигурации, будут ли пакеты с этой опцией отброшены, пакеты с этой опцией IP пересылаются, как если бы они не содержат эту опцию IP, или пакеты с этой опцией обрабатываются и перенаправлено согласно [RFC0791]. Значение по умолчанию для этого регулятора ДОЛЖНО быть "drop", и установка по умолчанию ДОЛЖНА быть задокументирована. 4.6. Идентификатор потока (Тип = 136) (устарело) Параметр "Идентификатор потока" изначально предоставлял средства для 16- бит идентификатора потока SATNET, который будет передаваться через сети, которые не поддерживают концепцию потока.Однако, как указано в разделе 3.2.1.8 RFC 1122 [RFC1122] и Раздел 4.2.2.1 RFC 1812 [RFC1812], эта опция устарела. Следовательно, он должен игнорироваться системами обработки. Смотрите также [IANA-IP] и [RFC6814]. RFC 791 утверждает, что эта опция появляется не более одного раза в данном дейтаграмма. Следовательно, если пакет содержит более одного экземпляра этот параметр, его следует отбросить, и это событие должно быть зарегистрировано (например, счетчик может быть увеличен, чтобы отразить потерю пакета).4.6.1. Использует Этот вариант устарел. В настоящее время эта опция не используется. 4.6.2. Спецификация опции Указано в RFC 791 [RFC0791] и объявлено устаревшим в RFC 1122 [RFC1122] и RFC 1812 [RFC1812]. Этот вариант был официально исключен Гонт и др. Истекает 12 июня 2014 г. [Страница 12]
Интернет-черновая фильтрация пакетов с IP-опцией, декабрь 2013 г.
[RFC6814].
4.6.3. Угрозы
Для этого варианта IPv4 не известно никаких конкретных проблем безопасности.4.6.4. Влияние на работу и совместимость в случае блокировки
Никто.
4.6.5. Совет
Маршрутизаторы, шлюзы безопасности и межсетевые экраны ДОЛЖНЫ отбрасывать IP-пакеты.
содержащий параметр идентификатора потока.
4.7. Метка времени в Интернете (тип = 68)
4.7.1. Использует
Эта опция предоставляет средства для записи времени, в которое каждый
система (или указанный набор систем) обработала эту дейтаграмму, и
может дополнительно записывать адреса систем, обеспечивающих
отметки времени.
4.7.2. Спецификация опции
Определено RFC 791 [RFC0791].4.7.3. Угрозы
Параметр отметки времени имеет ряд последствий для безопасности [RFC6274].
Среди них:
o Это позволяет злоумышленнику получить текущее время систем
которые обрабатывают пакет, который злоумышленник может найти полезным в
количество сценариев.
o Его можно использовать для отображения топологии сети аналогично
параметр Маршрут записи IP.
o Он может использоваться для снятия отпечатков пальцев с операционной системы, используемой
система, обрабатывающая дейтаграмму.
o Его можно использовать для снятия отпечатков пальцев с физических устройств путем анализа
часы перекос.[Kohno2005] описывает методику снятия отпечатков пальцев на устройствах
Измерение перекоса часов. Помимо прочего, он использует
Гонт и др. Истекает 12 июня 2014 г. [Страница 13] Интернет-черновая фильтрация пакетов с IP-опцией, декабрь 2013 г. метки времени, которые можно получить с помощью метки времени ICMP сообщения запроса [RFC0791]. Однако тот же метод снятия отпечатков пальцев может быть реализовано с помощью опции Internet Timestamp.4.7.4. Влияние на работу и совместимость в случае блокировки Методы устранения неполадок сети, которые могут использовать Интернет Опция отметки времени (например, ping с опцией отметки времени) не работает при использовании параметра Timestamp (ping без параметров IPv4 не пострадали). Тем не менее, следует отметить, что это практически невозможно использовать такие методы из-за повсеместного выпадения пакеты, содержащие параметры Internet Timestamp. 4.7.5. Совет Маршрутизаторы, шлюзы безопасности и межсетевые экраны ДОЛЖНЫ отбрасывать IP-пакеты. содержащий опцию Internet Timestamp.4.8. Предупреждение маршрутизатора (тип = 148) 4.8.1. Использует Опция Router Alert подразумевает семантическое значение: «маршрутизаторы должны проверить это. пакет более внимательно, если они участвуют в функциональности, обозначенной по значению опциона ». 4.8.2. Спецификация опции Параметр Router Alert определен в RFC 2113 [RFC2113] и более поздних версиях. его обновления были уточнены в RFC 5350 [RFC5350]. Это содержит 16-битное значение, регулируемое реестром IANA (см. [RFC5350]). 4.8.3. Угрозы Последствия для безопасности параметра Router Alert были устранены. подробно обсуждается в [RFC6398].По сути, опция Router Alert могут быть использованы для выполнения атаки отказа в обслуживании (DoS) с помощью исчерпание ресурсов ЦП на обрабатывающих маршрутизаторах. 4.8.4. Влияние на работу и совместимость в случае блокировки Приложения, использующие опцию Router Alert (например, RSVP [RFC2205]) сломается. 4.8.5. Совет Эта опция ДОЛЖНА быть разрешена только в контролируемых средах, где опцию можно безопасно использовать. [RFC6398] определяет некоторые такие Гонт и др. Истекает 12 июня 2014 г. [Страница 14]
Интернет-черновая фильтрация пакетов с IP-опцией, декабрь 2013 г.
среды.В небезопасных средах пакеты, содержащие эту опцию
СЛЕДУЕТ отбросить.
Данный маршрутизатор, шлюз безопасности или система межсетевого экрана не имеют возможности
зная априори, верен ли этот вариант в своем рабочем
среда. Следовательно, маршрутизаторы, шлюзы безопасности и межсетевые экраны
СЛЕДУЕТ по умолчанию игнорировать параметр Router Alert. Кроме того,
Маршрутизаторы, шлюзы безопасности и межсетевые экраны ДОЛЖНЫ иметь конфигурацию
настройка, которая управляет их реакцией при наличии пакетов
содержащий опцию Router Alert.Этот параметр конфигурации
СЛЕДУЕТ разрешить учитывать и обрабатывать параметр, игнорировать параметр или
отбрасывать пакеты, содержащие эту опцию.
4.9. Probe MTU (Type = 11) (устарело)
4.9.1. Использует
Первоначально эта опция обеспечивала механизм обнаружения Path-MTU.
Он был объявлен устаревшим.
4.9.2. Спецификация опции
Этот параметр был первоначально определен в RFC 1063 [RFC1063] и был
устарело с RFC 1191 [RFC1191]. Эта опция устарела, так как
RFC 1191 отменяет RFC 1063 без использования параметров IP.4.9.3. Угрозы
Этот вариант устарел. Этот вариант мог быть использован для
заставить хост установить свою оценку PMTU на чрезмерно низкий или
чрезмерно высокое значение, что вызывает проблемы с производительностью.
4.9.4. Влияние на работу и совместимость в случае блокировки
Никто
Эта опция НЕ используется в современном "Path MTU Discovery".
(PMTUD) механизм [RFC1191], который использует специальные сообщения ICMP.
(Тип 3, Код 4) в сочетании с битом IP DF. PLPMTUD
[RFC4821] может выполнять PMTUD без каких-либо специальных
пакеты.4.9.5. Совет
Маршрутизаторы, шлюзы безопасности и межсетевые экраны ДОЛЖНЫ отбрасывать IP-пакеты, которые
содержат параметр Probe MTU.
Гонт и др. Истекает 12 июня 2014 г. [Страница 15]
Интернет-черновая фильтрация пакетов с IP-опцией, декабрь 2013 г.
4.10. MTU ответа (Type = 12) (устарело)
4.10.1. Использует
Эта опция и изначально предоставляла механизм для обнаружения Пути.
MTU. Сейчас он устарел.
4.10.2. Спецификация опции
Этот параметр был первоначально определен в RFC 1063 [RFC1063] и был
устарело с RFC 1191 [RFC1191].Эта опция устарела, так как
RFC 1191 отменяет RFC 1063 без использования параметров IP.
4.10.3. Угрозы
Этот вариант устарел. Этот вариант мог быть использован для
заставить хост установить свою оценку PMTU на чрезмерно низкий или
чрезмерно высокое значение, что вызывает проблемы с производительностью.
4.10.4. Влияние на работу и совместимость в случае блокировки
Никто
Эта опция НЕ используется в современном "Path MTU Discovery".
(PMTUD) механизм [RFC1191], который использует специальные сообщения ICMP.
(Тип 3, Код 4) в сочетании с битом IP DF.PLPMTUD
[RFC4821] может выполнять PMTUD без каких-либо специальных
пакеты.
4.10.5. Совет
Маршрутизаторы, шлюзы безопасности и межсетевые экраны ДОЛЖНЫ отбрасывать IP-пакеты, которые
содержат параметр MTU ответа.
4.11. Traceroute (Тип = 82)
4.11.1. Использует
Первоначально эта опция предоставляла механизм для отслеживания пути к
хозяин.
4.11.2. Спецификация опции
Эта опция изначально была указана в RFC 1393 [RFC1393] как
"экспериментальный", и он никогда не был широко распространен на публике.
Интернет.Эта опция официально устарела [RFC6814].
Гонт и др. Истекает 12 июня 2014 г. [Страница 16]
Интернет-черновая фильтрация пакетов с IP-опцией, декабрь 2013 г.
4.11.3. Угрозы
Этот вариант устарел. Поскольку для этого варианта требовался каждый маршрутизатор в
путь как для обеспечения специальной обработки, так и для отправки ICMP
сообщение, оно могло быть использовано для выполнения отказа в обслуживании
(DoS) атака путем исчерпания ресурсов ЦП на обрабатывающих маршрутизаторах.4.11.4. Влияние на работу и совместимость в случае блокировки
Никто
4.11.5. Совет
Маршрутизаторы, шлюзы безопасности и межсетевые экраны ДОЛЖНЫ отбрасывать IP-пакеты, которые
содержат параметр Traceroute.
4.12. Опция базовой безопасности DoD (тип = 130)
4.12.1. Использует
Эта опция используется оконечными системами с многоуровневой безопасностью (MLS) и
промежуточные системы в определенных средах согласно [RFC1108]:
o Передача от источника к месту назначения в стандарте сети
представление общих защитных этикеток, требуемых компьютером
модели безопасности [Landwehr81],
o проверить дейтаграмму как подходящую для передачи от
источник и доставка в пункт назначения, и,
o гарантировать, что маршрут, выбранный дейтаграммой, защищен к
уровень, требуемый всеми органами защиты, указанный на
дейтаграмма.Опция базовой безопасности DoD (BSO) была реализована в IRIX.
[IRIX2008] и в настоящее время реализован в ряде операционных
системы (например, Linux с усиленной безопасностью [SELinux2008], Solaris
[Solaris2008] и Cisco IOS [Cisco-IPSO]). Также в настоящее время
развернуты в ряде сетей с высоким уровнем безопасности. Эти сети
обычно либо в физически безопасных местах, защищенных
военное / правительственное оборудование для обеспечения безопасности связи или и то, и другое.
Такие сети обычно строятся с использованием готовых коммерческих
(COTS) IP-маршрутизаторы и коммутаторы Ethernet, но обычно
связаны с глобальным публичным Интернетом.Многоуровневая безопасность
(MLS) сейчас развернуты гораздо шире, чем когда-то
когда тогдашний IESG решил удалить IPSO (параметры безопасности IP) из
трек стандартов IETF. Поскольку почти все системы MLS также поддерживают
IPSO BSO и IPSO ESO, считается, что этот вариант имеет больше
Гонт и др. Истекает 12 июня 2014 г. [Страница 17]
Интернет-черновая фильтрация пакетов с IP-опцией, декабрь 2013 г.
развертывание сейчас, чем когда IESG удалил эту опцию из IETF
стандарты-трек.[RFC5570] недавно описал аналогичный вариант.
определен для IPv6 и содержит более подробные объяснения того, как
Параметры метки конфиденциальности используются в реальных развертываниях.
4.12.2. Спецификация опции
Он указан в RFC 1108 [RFC1108]], который устарел RFC 1038.
[RFC1038] (который, в свою очередь, устарел опцию безопасности, определенную в RFC
791 [RFC0791]).
RFC 791 [RFC0791] определил «Вариант безопасности» (Тип = 130),
который использовал тот же тип опции, что и опция DoD Basic Security
обсуждается в этом разделе.Позже RFC 1038 [RFC1038] изменил
Параметры безопасности IP, которые, в свою очередь, были отменены RFC 1108
[RFC1108]. "Вариант безопасности", указанный в RFC 791:
считается устаревшим разделом 3.2.1.8 RFC 1122 [RFC1122] и
Раздел 4.2.2.1 RFC 1812 [RFC1812], и, следовательно,
обсуждение в этом разделе сосредоточено на базовой безопасности DoD.
опция, указанная в RFC 1108 [RFC1108].
В разделе 4.2.2.1 RFC 1812 говорится, что маршрутизаторы "ДОЛЖНЫ реализовывать
этот вариант ».Некоторые частные IP-сети рассматривают каждый интерфейс на основе IP-маршрутизатора.
выборочная фильтрация пакетов на основе (а) наличия
Вариант IPSO (включая BSO и ESO) и (b) в зависимости от содержания
этой опции IPSO, чтобы иметь важное значение для операционной безопасности
причины. В недавней спецификации опции IPv6 CALIPSO обсуждается
это более подробно, хотя и в контексте IPv6 [RFC5570].
Такие частные IP-сети обычно строятся с использованием как коммерческих
и продукты с открытым исходным кодом - для хостов, охранников, межсетевых экранов, коммутаторов,
роутеры и др.Некоторые коммерческие IP-маршрутизаторы поддерживают эту опцию, так как
сделать некоторые IP-маршрутизаторы, построенные на основе многоуровневой защиты
(MLS) операционные системы (например, поверх Trusted Solaris
[Solaris2008] или Linux с усиленной безопасностью [SELinux2008]).
Например, многие маршрутизаторы Cisco, работающие под управлением Cisco IOS, включают поддержку
для выборочной фильтрации пакетов, содержащих IP Security
Опции (IPSO) с детализацией по интерфейсу. Эта возможность
присутствует во многих маршрутизаторах Cisco с начала 1990-х гг.
[Cisco-IPSO-Cmds].Сообщается, что некоторые продукты государственного сектора
также поддерживают параметры безопасности IP (IPSO), например CANEWARE
[RFC4949].
Гонт и др. Истекает 12 июня 2014 г. [Страница 18]
Интернет-черновая фильтрация пакетов с IP-опцией, декабрь 2013 г.
Поддержка базовой опции безопасности IPSO также включена в
«Информационная модель политики конфигурации IPsec» [RFC3585] и в
«MIB конфигурации базы данных политики безопасности IPsec» [RFC4807].Раздел 4.6.1 области интерпретации IP-безопасности
[RFC2407] включает поддержку помеченных ассоциаций безопасности IPsec.
совместим с параметрами безопасности IP.
4.12.3. Угрозы
Наличие этой опции в пакете само по себе не создает никаких
конкретная новая угроза. Пакеты с этой опцией обычно не должны быть
видели в глобальной общедоступной сети Интернет.
4.12.4. Влияние на работу и совместимость в случае блокировки
Если пакеты с этой опцией заблокированы или если опция отключена
из пакета во время передачи от источника к получателю, затем
сам пакет, вероятно, будет отброшен получателем, потому что он
не маркирован должным образом.В некоторых случаях получатель может получать
пакет, но связать неправильную метку чувствительности с
получил данные из пакета, BSO которого был удален
промежуточный маршрутизатор или межсетевой экран. Связывание неправильного
метка конфиденциальности может привести к тому, что полученная информация будет
обрабатывается как более чувствительный, чем он есть на самом деле («модернизация») или как менее
чувствительна, чем она есть на самом деле («понижение»), либо
проблематично.
4.12.5. Совет
У данного IP-маршрутизатора, шлюза безопасности или межсетевого экрана нет способа узнать
априори в какой среде он был развернут.Даже закрытый IP
развертывания обычно используют одни и те же коммерческие маршрутизаторы,
шлюзы безопасности и брандмауэры, которые используются в общественных местах.
Интернет.
Поскольку эксплуатационные проблемы приводят к средам, в которых этот параметр
требуется, если параметр отброшен или IP-пакеты, содержащие
эта опция отбрасывается, но не причиняет вреда, если она переносится
в средах, где это не нужно, конфигурация по умолчанию
НЕ СЛЕДУЕТ (а) изменять или удалять эту опцию IP или (б) удалять IP
пакет, потому что IP-пакет содержит эту опцию.Данный IP-маршрутизатор, шлюз безопасности или брандмауэр МОЖЕТ быть настроен на
отбросить эту опцию или отбросить IP-пакеты, содержащие эту опцию, в
известная среда, которая не использует эту опцию.
Для целей аудита маршрутизаторы, шлюзы безопасности и брандмауэры
ДОЛЖЕН иметь возможность регистрировать количество пакетов, содержащих
Гонт и др. Истекает 12 июня 2014 г. [Страница 19]
Интернет-черновая фильтрация пакетов с IP-опцией, декабрь 2013 г.
BSO для каждого интерфейса.Также маршрутизаторы, шлюзы безопасности и
межсетевые экраны ДОЛЖНЫ быть способны отбрасывать пакеты на основе BSO
присутствие, а также значения BSO.
4.13. Опция расширенной безопасности Министерства обороны США (тип = 133)
4.13.1. Использует
Эта опция разрешает дополнительную информацию о безопасности, помимо
которые присутствуют в Базовом варианте безопасности (Раздел 4.12), чтобы быть
поставляется в IP-дейтаграмме для удовлетворения потребностей зарегистрированных
органы власти.
4.13.2. Спецификация опции
Опция расширенной безопасности DoD (ESO) определена RFC 1108
[RFC1108].Некоторые частные IP-сети рассматривают каждый интерфейс на основе IP-маршрутизатора.
выборочная фильтрация пакетов на основе (а) наличия
Вариант IPSO (включая BSO и ESO) и (b) в зависимости от содержания
этой опции IPSO, чтобы иметь важное значение для операционной безопасности
причины. В недавней спецификации опции IPv6 CALIPSO обсуждается
это более подробно, хотя и в контексте IPv6 [RFC5570].
Такие частные IP-сети обычно строятся с использованием как коммерческих
и продукты с открытым исходным кодом - для хостов, охранников, межсетевых экранов, коммутаторов,
роутеры и др.Некоторые коммерческие IP-маршрутизаторы поддерживают эту опцию, так как
сделать некоторые IP-маршрутизаторы, построенные на основе многоуровневой защиты
(MLS) операционные системы (например, поверх Trusted Solaris
[Solaris2008] или Linux с усиленной безопасностью [SELinux2008]).
Например, многие маршрутизаторы Cisco, работающие под управлением Cisco IOS, включают поддержку
для выборочной фильтрации пакетов, содержащих IP Security
Опции (IPSO) с детализацией по интерфейсу. Эта возможность
присутствует во многих маршрутизаторах Cisco с начала 1990-х гг.
[Cisco-IPSO-Cmds].Сообщается, что некоторые продукты государственного сектора
также поддерживают параметры безопасности IP (IPSO), например CANEWARE
[RFC4949].
Поддержка опции расширенной безопасности IPSO также включена в
«Информационная модель политики конфигурации IPsec» [RFC3585] и
в «MIB конфигурации базы данных политики безопасности IPsec»
[RFC4807]. Раздел 4.6.1 домена безопасности IP
Интерпретация [RFC2407] включает поддержку помеченного IPsec
сопоставления безопасности, совместимые с параметрами безопасности IP.Гонт и др. Истекает 12 июня 2014 г. [Страница 20] Интернет-черновая фильтрация пакетов с IP-опцией, декабрь 2013 г. 4.13.3. Угрозы Наличие этой опции в пакете само по себе не создает никаких конкретная новая угроза. Пакеты с этой опцией обычно не должны быть видели в глобальной общедоступной сети Интернет. 4.13.4. Влияние на работу и совместимость в случае блокировки Если пакеты с этой опцией заблокированы или если опция отключена из пакета во время передачи от источника к получателю, затем сам пакет, вероятно, будет отброшен получателем, потому что он не маркирован должным образом.В некоторых случаях получатель может получать пакет, но связать неправильную метку чувствительности с получил данные из пакета, ESO которого был удален промежуточный маршрутизатор или межсетевой экран. Связывание неправильного метка конфиденциальности может привести к тому, что полученная информация будет обрабатывается как более чувствительный, чем он есть на самом деле («модернизация») или как менее чувствительна, чем она есть на самом деле («понижение»), либо проблематично. 4.13.5. Совет У данного IP-маршрутизатора, шлюза безопасности или межсетевого экрана нет способа узнать априори в какой среде он был развернут.Даже закрытый IP развертывания обычно используют одни и те же коммерческие маршрутизаторы, шлюзы безопасности и брандмауэры, которые используются в общественных местах. Интернет. Поскольку эксплуатационные проблемы приводят к средам, в которых этот параметр требуется, если параметр отброшен или IP-пакеты, содержащие эта опция отбрасывается, но не причиняет вреда, если она переносится в средах, где это не нужно, конфигурация по умолчанию НЕ СЛЕДУЕТ (а) изменять или удалять эту опцию IP или (б) удалять IP пакет, потому что IP-пакет содержит эту опцию.Данный IP-маршрутизатор, шлюз безопасности или брандмауэр МОЖЕТ быть настроен на отбросить эту опцию или отбросить IP-пакеты, содержащие эту опцию, в известная среда, которая не использует эту опцию. Для целей аудита маршрутизаторы, шлюзы безопасности и брандмауэры ДОЛЖЕН иметь возможность регистрировать количество пакетов, содержащих ESO для каждого интерфейса. Также маршрутизаторы, шлюзы безопасности и межсетевые экраны ДОЛЖНЫ быть способны отбрасывать пакеты на основе ESO присутствие, а также ценности ESO.Гонт и др. Истекает 12 июня 2014 г. [Страница 21]
Интернет-черновая фильтрация пакетов с IP-опцией, декабрь 2013 г.
4.14. Вариант коммерческой защиты IP (CIPSO) (тип = 134)
4.14.1. Использует
Этот вариант был предложен организацией Trusted Systems Interoperability.
Group (TSIG) с целью создания надежных сетей
требования к рынку коммерческих доверенных систем.
Он был реализован в IRIX [IRIX2008] и в настоящее время реализован в
ряд операционных систем (например,g., Linux с повышенной безопасностью
[SELinux2008] и Solaris [Solaris2008]). Также в настоящее время
развернуты в ряде сетей с высоким уровнем безопасности.
4.14.2. Спецификация опции
Эта опция указана в [I-D.ietf-cipso-ipsecurity] и
[FIPS1994]. Нет известных реализаций IP-маршрутизатора CIPSO.
Несколько операционных систем MLS поддерживают CIPSO, как правило, тот же MLS.
операционные системы, поддерживающие IPSO.
Предложение TSIG было передано в Коммерческую Интернет-безопасность.
Вариант (CIPSO) рабочая группа IETF [CIPSOWG1994] и
Был выпущен Интернет-проект [I-D.ietf-cipso-ipsecurity]. В
Internet-Draft никогда не публиковался как RFC, но предложение было
позже стандартизирован Национальным институтом стандартов США и
Technology (NIST) как "Федеральный стандарт обработки информации"
Публикация 188 "[FIPS1994].
4.14.3. Угрозы
Наличие этой опции в пакете само по себе не создает никаких
конкретная новая угроза. Пакеты с этой опцией обычно не должны быть
видели в глобальной общедоступной сети Интернет.
4.14.4. Влияние на работу и совместимость в случае блокировки
Если пакеты с этой опцией заблокированы или если опция отключена
из пакета во время передачи от источника к получателю, затем
сам пакет, вероятно, будет отброшен получателем, потому что он
не маркирован должным образом.В некоторых случаях получатель может получать
пакет, но связать неправильную метку чувствительности с
получил данные из пакета, CIPSO которого был удален
промежуточный маршрутизатор или межсетевой экран. Связывание неправильного
метка конфиденциальности может привести к тому, что полученная информация будет
обрабатывается как более чувствительный, чем он есть на самом деле («модернизация») или как менее
чувствительна, чем она есть на самом деле («понижение»), либо
проблематично.
Гонт и др. Истекает 12 июня 2014 г. [Страница 22] Интернет-черновая фильтрация пакетов с IP-опцией, декабрь 2013 г. 4.14.5. Совет Из-за конструкции этой опции с переменным синтаксисом и переменная длина, поддержка специализированной фильтрации нецелесообразна используя информацию CIPSO. Маршрутизаторы и брандмауэры неизвестны. поддержите этот вариант. Однако маршрутизаторы, шлюзы безопасности и брандмауэрам НЕ СЛЕДУЕТ по умолчанию изменять или удалять эту опцию из IP пакетов и НЕ ДОЛЖЕН по умолчанию отбрасывать пакеты, потому что они содержат этот вариант. В целях аудита маршрутизаторы, шлюзы безопасности и межсетевые экраны ДОЛЖНЫ быть способны регистрировать количество пакетов содержащий CIPSO для каждого интерфейса.Также маршрутизаторы, шлюзы безопасности и межсетевые экраны ДОЛЖНЫ быть способны отбрасывать пакеты на основе присутствия CIPSO. 4.15. ВИЗА (Тип = 142) 4.15.1. Использует Эти варианты были частью эксперимента в USC и никогда не были широко распространены. развернут. 4.15.2. Спецификация опции Исходная спецификация опции не является общедоступной. Этот опция официально устарела [RFC6814]. 4.15.3. Угрозы Невозможно определить (другие общие последствия для безопасности Параметры IP обсуждались в разделе 3), поскольку соответствующие Спецификация не является общедоступной.4.15.4. Влияние на работу и совместимость в случае блокировки Никто. 4.15.5. Совет Маршрутизаторы, шлюзы безопасности и межсетевые экраны ДОЛЖНЫ отбрасывать IP-пакеты, которые содержать эту опцию. 4.16. Расширенный интернет-протокол (тип = 145) 4.16.1. Использует Опция EIP была введена одним из представленных предложений во время IPng попыток решить проблему адреса IPv4 истощение. Гонт и др. Истекает 12 июня 2014 г. [Страница 23]
Интернет-черновая фильтрация пакетов с IP-опцией, декабрь 2013 г. 4.16.2. Спецификация опции Указано в [RFC1385]. Этот вариант был официально исключен [RFC6814]. 4.16.3. Угрозы Этот вариант устарел. Этот вариант использовался (или предназначался для используется), чтобы сигнализировать, что пакет внешне похож на пакет IPv4. фактически содержал другой протокол, открывая возможность что узел IPv4, который просто проигнорировал эту опцию, обработал бы получил пакет способом, несовместимым с намерением отправитель. Нет известных угроз, связанных с этим вариантом, другими чем общие последствия для безопасности параметров IP, обсуждаемые в Раздел 3.4.16.4. Влияние на работу и совместимость в случае блокировки Никто. 4.16.5. Совет Маршрутизаторы, шлюзы безопасности и межсетевые экраны ДОЛЖНЫ отбрасывать пакеты, которые содержать эту опцию. 4.17. Расширение адреса (тип = 147) 4.17.1. Использует Опция расширения адреса была введена одним из предложений отправлено во время попыток IPng решить проблему IPv4 адрес исчерпание. 4.17.2. Спецификация опции Указано в [RFC1475]. Этот вариант был официально исключен [RFC6814].4.17.3. Угрозы Нет никаких известных угроз, связанных с этим вариантом, кроме общие последствия для безопасности IP-опций, обсуждаемые в разделе 3. 4.17.4. Влияние на работу и совместимость в случае блокировки Никто. Гонт и др. Истекает 12 июня 2014 г. [Страница 24]
Интернет-черновая фильтрация пакетов с IP-опцией, декабрь 2013 г. 4.17.5. Совет Маршрутизаторы, шлюзы безопасности и межсетевые экраны ДОЛЖНЫ отбрасывать пакеты, которые содержать эту опцию.4.18. Доставка по нескольким адресатам, направленная отправителем (тип = 149) 4.18.1. Использует Первоначально эта опция обеспечивала ненадежную доставку UDP для набора адреса включены в опцию. 4.18.2. Спецификация опции Эта опция указана в RFC 1770 [RFC1770]. Формально устарело [RFC6814]. 4.18.3. Угрозы Этот вариант можно было бы использовать для увеличения полосы пропускания в Атаки отказа в обслуживании (DoS). 4.18.4. Влияние на работу и совместимость в случае блокировки Никто.4.18.5. Совет Маршрутизаторы, шлюзы безопасности и межсетевые экраны ДОЛЖНЫ отбрасывать IP-пакеты, которые содержат опцию многоадресной доставки, направляемой отправителем. 4.19. Динамическое состояние пакета (Тип = 151) 4.19.1. Использует Опция Dynamic Packet State использовалась для указания указанного динамического Состояние пакета (DPS) в контексте дифференцированного обслуживания архитектура. 4.19.2. Спецификация опции Параметр динамического состояния пакета был указан в [I-D.stoica-diffserv-dps]. Вышеупомянутый документ имел целью быть опубликованным как "экспериментальный", но никогда не попадать в RFC.Этот опция официально устарела [RFC6814]. Гонт и др. Истекает 12 июня 2014 г. [Страница 25]
Интернет-черновая фильтрация пакетов с IP-опцией, декабрь 2013 г. 4.19.3. Угрозы Возможные угрозы включают кражу обслуживания и отказ в обслуживании. Однако отметим, что этот вариант никогда широко не реализовывался или развернут. 4.19.4. Влияние на работу и совместимость в случае блокировки Никто. 4.19.5. Совет Маршрутизаторы, шлюзы безопасности и межсетевые экраны ДОЛЖНЫ отбрасывать пакеты, которые содержать эту опцию.4.20. Upstream Multicast Pkt. (Тип = 152) 4.20.1. Использует Этот вариант был предназначен для решения проблемы создания апстрима. пересылка многоадресных пакетов в локальной сети с множественным доступом. 4.20.2. Спецификация опции Эта опция изначально была указана в [I-D.farinacci-bidir-pim]. Он никогда не был официально стандартизирован в серии RFC и никогда не был широко внедрен и развернут. Его использование было отменено [RFC5015], который использует механизм уровня управления для решения проблемы выполнения пересылка многоадресных пакетов в восходящем направлении в локальной сети с множественным доступом.Этот опция официально устарела [RFC6814]. 4.20.3. Угрозы Этот вариант устарел. Маршрутизатор, который вместо этого проигнорировал эту опцию обработки его, как указано в [I-D.farinacci-bidir-pim], может иметь перенаправили многоадресные пакеты в непреднамеренное место назначения. 4.20.4. Влияние на работу и совместимость в случае блокировки Никто. 4.20.5. Совет Маршрутизаторы, шлюзы безопасности и межсетевые экраны ДОЛЖНЫ отбрасывать пакеты, которые содержать эту опцию. Гонт и др. Истекает 12 июня 2014 г. [Страница 26]
Интернет-черновая фильтрация пакетов с IP-опцией, декабрь 2013 г.
4.21. Быстрый запуск (тип = 25)
4.21.1. Использует
Этот параметр IP используется в спецификации Quick-Start для TCP.
и IP, который является экспериментальным механизмом, позволяющим транспортировать
протоколы во взаимодействии с маршрутизаторами для определения разрешенного
скорость отправки в начале, а иногда и в середине данных
передача (например, после периода бездействия) [RFC4782].
4.21.2. Спецификация опции
Указано в RFC 4782 [RFC4782] на треке "Experimental".
4.21.3. Угрозы
В разделе 9.6 [RFC4782] отмечается, что Quick-Start уязвим для двух
виды атак:
o Атаки для увеличения загрузки маршрутизаторов и состояния, а также,
o атаки с поддельными запросами быстрого запуска, чтобы временно связать
доступная пропускная способность Quick-Start, препятствующая утверждению маршрутизаторами
Запросы быстрого запуска от других подключений.4.21.4. Влияние на работу и совместимость в случае блокировки
Функция быстрого запуска будет отключена, а дополнительные
могут быть введены задержки, например, при установлении TCP-соединения
(см. раздел 4.7.2 [RFC4782]. Однако мы отмечаем, что
Быстрый старт был предложен в качестве механизма, который можно было бы использовать в
контролируемая среда, а не как механизм, который
предназначены или подходят для повсеместного развертывания в глобальном
Интернет [RFC4782].
4.21.5. Совет
Данный маршрутизатор, шлюз безопасности или система межсетевого экрана не имеют возможности
зная априори, верен ли этот вариант в своем рабочем
среда.Следовательно, маршрутизаторы, шлюзы безопасности и межсетевые экраны
СЛЕДУЕТ по умолчанию игнорировать параметр быстрого запуска. Кроме того,
Маршрутизаторы, шлюзы безопасности и межсетевые экраны ДОЛЖНЫ иметь конфигурацию
настройка, которая управляет их реакцией при наличии пакетов
содержащий опцию быстрого запуска. Этот параметр конфигурации ДОЛЖЕН
разрешить учитывать и обрабатывать параметр, игнорировать параметр или отбрасывать
пакеты, содержащие эту опцию. Конфигурация по умолчанию:
игнорируйте опцию Quick Start.Гонт и др. Истекает 12 июня 2014 г. [Страница 27]
Интернет-черновая фильтрация пакетов с IP-опцией, декабрь 2013 г.
Отметим, что если маршрутизаторы в данной среде не реализуют
и включите механизм Quick-Start, только общую безопасность
последствия вариантов IP (обсуждаемых в разделе 3) будут применяться.
4.22. Эксперимент в стиле RFC3692 (типы = 30, 94, 158 и 222)
Раздел 2.5 RFC 4727 [RFC4727] выделяет номер опции со всеми
определенные значения полей "копия" и "класс" для стиля RFC3692
эксперименты.Это приводит к четырем различным кодам типов опций: 30,
94, 158 и 222.
4.22.1. Использует
Эти значения целесообразно использовать только в явно настроенных
эксперименты; они НЕ ДОЛЖНЫ поставляться по умолчанию в реализациях.
4.22.2. Спецификация опции
Указано в RFC 4727 [RFC4727] в контексте стиля RFC3692
эксперименты.
4.22.3. Угрозы
Для этого варианта IPv4 не известно никаких конкретных проблем безопасности.
4.22.4. Влияние на работу и совместимость в случае блокировки
Никто.4.22.5. Совет
Маршрутизаторы, шлюзы безопасности и межсетевые экраны ДОЛЖНЫ иметь конфигурацию.
ручки для IP-пакетов, которые содержат параметры эксперимента в стиле RFC3692, чтобы
выберите между «игнорировать и пересылать» и «отпустить и записать»). В противном случае нет
законный эксперимент с использованием этих параметров сможет пройти
любой IP роутер.
Особую осторожность следует проявлять в случае «падения и регистрации». Устройства
СЛЕДУЕТ подсчитывать количество отброшенных пакетов, но регистрация отбрасывания
события ДОЛЖНЫ быть ограничены, чтобы не перегружать ресурсы устройства.Вышеупомянутый регулятор конфигурации ДОЛЖЕН по умолчанию находиться в положении «drop & log».
4.23. Другие варианты IP
Гонт и др. Истекает 12 июня 2014 г. [Страница 28]
Интернет-черновая фильтрация пакетов с IP-опцией, декабрь 2013 г.
4.23.1. Технические характеристики
Нераспознанные параметры IP игнорируются. Раздел 3.2.1.8 RFC
1122 [RFC1122] и раздел 4.2.2.6 RFC 1812 [RFC1812] указывают это
поведение следующим образом:
RFC 1122: «IP и транспортный уровень ДОЛЖНЫ интерпретировать каждый из этих IP.
варианты, которые они понимают и молча игнорируют
другие."
RFC 1812: «Маршрутизатор ДОЛЖЕН игнорировать параметры IP, которые он не выполняет.
распознавать."
Этот документ добавляет, что нераспознанные параметры IP МОГУТ также регистрироваться.
Кроме того, маршрутизаторы, шлюзы безопасности и межсетевые экраны ДОЛЖНЫ предоставлять
возможность регистрировать события отбрасывания IP-пакетов, содержащих нераспознанные или
устаревшие варианты.
Ряд дополнительных опций перечислены в разделе «НОМЕРА ОПЦИЙ IP»
Реестр IANA [IANA-IP] на момент последнего редактирования этого документа.
Конкретно:
Копировать имя значения номера класса
---- ----- ------ ----- ------------------------------ -------------
0 0 10 10 ЗСУ - Экспериментальные измерения
1 2 13 205 FINN - экспериментальное управление потоком
0 0 15 15 КОДИРОВАТЬ - ???
1 0 16144 IMITD - Дескриптор трафика IMI
1 0 22 150 - Unassigned (Дата выхода 18 окт.2005)
Опция ENCODE (тип 15) официально устарела [RFC6814].
4.23.2. Угрозы
Отсутствие открытых спецификаций для этих опций делает невозможным
чтобы оценить их влияние на безопасность.
4.23.3. Влияние на работу и совместимость в случае блокировки
Отсутствие открытых спецификаций для этих опций делает невозможным
для оценки воздействия на работу и совместимость, если пакеты
содержащие эти параметры заблокированы.
4.23.4. Совет
Маршрутизаторы, шлюзы безопасности и межсетевые экраны ДОЛЖНЫ иметь конфигурацию.
ручки для IP-пакетов, содержащих эти параметры (или другие параметры, не
Гонт и др.Истекает 12 июня 2014 г. [Страница 29] Интернет-черновая фильтрация пакетов с IP-опцией, декабрь 2013 г. распознается) для выбора между "игнорировать и пересылать" и "отбрасывать и записывать"). В разделе 4.23.1 указано, что [RFC1122] и [RFC1812] указывают, что нераспознанные параметры IP ДОЛЖНЫ игнорироваться. Однако предыдущие параграф гласит, что маршрутизаторы, шлюзы безопасности и межсетевые экраны ДОЛЖЕН иметь параметр конфигурации для отбрасывания и регистрации IP пакеты, содержащие нераспознанные опции.Пока признается что этот совет противоречит предыдущим требованиям RFC, Рекомендации в этом документе отражают текущую операционную реальность. Особую осторожность следует проявлять в случае «падения и регистрации». Устройства СЛЕДУЕТ подсчитывать количество отброшенных пакетов, но регистрация отбрасывания события ДОЛЖНЫ быть ограничены, чтобы не перегружать ресурсы устройства. 5. Соображения IANA В этом документе нет действий для IANA. 6. Соображения безопасности В этом документе содержатся советы по фильтрации IP-пакетов, которые содержат параметры IP.Отбрасывание таких пакетов может помочь уменьшить проблемы безопасности, возникающие из-за использования различных вариантов IP. Многие из параметры IPv4, перечисленные в этом документе, устарели и не вызывают эксплуатационное воздействие при падении. Однако отбрасывание пакетов, содержащих Используемые параметры IPv4 могут вызвать реальные проблемы в работе развернутые сети. Поэтому практика отбрасывания всех IPv4 пакеты, содержащие один или несколько параметров IPv4 без осторожного рассмотрение не рекомендуется.7. Благодарности Авторы хотели бы поблагодарить (в алфавитном порядке) Рона Бонику, К. М. Херд, Мерике Каео, Панос Кампанакис, Суреш Кришнан, Артуро Сервину, С.М. и Дональду Смиту за подробные обзоры и ценные комментарии. Мерике Каео также предоставила текст, использованный в этом документ. Авторы также хотели бы поблагодарить различных специалистов по сетевым операциям, которые предоставил отзыв о более ранних версиях этого документа, но не хотите, чтобы его имя было явно указано в этом документе.Часть этого документа изначально основана на документе «Безопасность Оценка Интернет-протокола »[CPNI2008], который является результатом проект, выполняемый Фернандо Гонт от имени UK CPNI (ранее Гонт и др. Истекает 12 июня 2014 г. [Страница 30]
Интернет-черновая фильтрация пакетов с IP-опцией, декабрь 2013 г.
NISCC). Фернандо Гонт благодарит UK CPNI (ранее NISCC)
за их постоянную поддержку.
8. Ссылки
8.1. Нормативные ссылки
[RFC0791] Postel, J., «Интернет-протокол», STD 5, RFC 791,
Сентябрь 1981 г.
[RFC1122] Брейден Р., «Требования к Интернет-хостам -
Уровни связи », STD 3, RFC 1122, октябрь 1989 г.
[RFC1191] Могул, Дж. И С. Диринг, «Обнаружение MTU пути», RFC 1191,
Ноябрь 1990 г.
[RFC1812] Бейкер, Ф., «Требования к маршрутизаторам IP версии 4»,
RFC 1812, июнь 1995 г.
[RFC2113] Кац, Д., «Опция предупреждения IP-маршрутизатора», RFC 2113,
Февраль 1997 г.[RFC2119] Брэднер, С., «Ключевые слова для использования в RFC для обозначения
Уровни требований », BCP 14, RFC 2119, март 1997 г.
[RFC4727] Феннер, Б., «Экспериментальные значения в IPv4, IPv6, ICMPv4,
Заголовки ICMPv6, UDP и TCP », RFC 4727, ноябрь 2006 г.
[RFC4821] Mathis, M. и J. Heffner, "MTU пути уровня пакетирования
Discovery », RFC 4821, март 2007 г.
[RFC5015] Хэндли, М., Кувелас, И., Спикман, Т., и Л. Вичисано,
"Двунаправленная независимая от протокола многоадресная передача (BIDIR-
PIM) », RFC 5015, октябрь 2007 г.[RFC6398] Ле Фошер, Ф., "Рекомендации по предупреждению IP-маршрутизатора и
Использование », BCP 168, RFC 6398, октябрь 2011 г.
[RFC6814] Пигнатаро, К. и Ф. Гонт, «Официальное прекращение поддержки некоторых IPv4
Параметры », RFC 6814, ноябрь 2012 г.
8.2. Информативные ссылки
[BREMIER-BARR]
Бремье-Барр, А. и Х. Леви, "Предотвращение спуфинга
метод », Труды IEEE InfoCom 2005 Том 1, стр.
536-547, IEEE, март 2005 г.
Гонт и др. Истекает 12 июня 2014 г. [Страница 31]
Интернет-черновая фильтрация пакетов с IP-опцией, декабрь 2013 г.
[Biondi2007]
Бионди, П.и А. Эбалард, "Безопасность заголовков маршрутизации IPv6",
Конференция по безопасности CanSecWest 2007 , 2007.
[CIPSOWG1994]
CIPSOWG, "Коммерческий вариант безопасности интернет-протокола
(CIPSO) Working Group ", 1994, .
[CPNI2008]
Гонт, Ф., "Оценка безопасности Интернет-протокола",
, 2008 г.
[Cisco-IPSO]
Cisco Systems, Inc., "Конфигурация безопасности Cisco IOS
Руководство, выпуск 12.2 - Настройка параметров IP-безопасности »,
2006 г., .
[Cisco-IPSO-Cmds]
Cisco Systems, Inc., "Команда безопасности Cisco IOS"
Справочник, Выпуск 12.2 - Команды параметров безопасности IP ",
.
[FIPS1994]
FIPS, «Стандартная метка защиты для передачи информации»,
Публикация федеральных стандартов обработки информации. ФИП
PUBS 188, , 1994.
[FONSECA] Фонсека, Р., Портер, Г., Кац, Р., Шенкер, С., и И.
Стойка, «Параметры IP - не вариант», декабрь 2005 г.
[Я БЫ.фариначчи-бидир-пим]
Эстрин, Д. и Д. Фариначчи, "Общие двунаправленные деревья"
в ПИМ-СМ », draft-farinacci-bidir-pim (в стадии разработки),
Май 1999 г.
[I-D.ietf-cipso-ipsecurity]
Рабочая группа IETF CIPSO, "КОММЕРЧЕСКИЙ ВАРИАНТ БЕЗОПАСНОСТИ IP
(CIPSO 2.2) ", draft-ietf-cipso-ipsecurity-01 (работает в
прогресс), 1992.
[I-D.stoica-diffserv-dps]
Стойка, И., Чжан, Х., Бейкер, Ф., и Я. Бернет, "Per Hop"
Поведение на основе динамического состояния пакета ",
Гонт и др.Истекает 12 июня 2014 г. [Страница 32]
Интернет-черновая фильтрация пакетов с IP-опцией, декабрь 2013 г.
draft-stoica-diffserv-dps-02 (в разработке),
Октябрь 2002 г.
[IANA-IP] Агентство по присвоению номеров в Интернете, «НОМЕРА ОПЦИЙ IP»,
Апрель 2011,
.
[IRIX2008]
IRIX, "Справочная страница IRIX 6.5 trust_networking (7)", 2008 г.,
.
[Kohno2005]
Коно Т., Бройдо А. и К.С. Клаффи, "Удаленный физический
Отпечаток устройства », IEEE Transactions on Dependable
и Secure Computing Vol. 2, №2, 2005.
[Landwehr81]
Ландвер, К., "Формальные модели компьютерной безопасности", ACM
Computing Surveys Vol 13, No. 3, сентябрь 1981 г., Assoc for
Computing Machinery, Нью-Йорк, Нью-Йорк, США, 1981.[МЕДИНА] Медина, А., Оллман, М., и С. Флойд, "Измерение
Взаимодействие между транспортными протоколами и промежуточными ящиками »,
Proc. 4-я конференция ACM SIGCOMM / USENIX по
Internet Measurement, октябрь 2004 г.
[Microsoft1999]
Microsoft, "Программа безопасности Microsoft: Безопасность Майкрософт"
Бюллетень (MS99-038). Патч доступен для "Spoofed Route"
Указатель «Уязвимость», 1999 г., .
[OpenBSD1998]
OpenBSD, "Рекомендации по безопасности OpenBSD: маршрутизация источника IP
Проблема », 1998, г.
.
[RFC1038] Сент-Джонс, М., «Проект измененного варианта безопасности IP»,
RFC 1038, январь 1988 г.
[RFC1063] Могул, Дж., Кент, К., Партридж, К., и К. МакКлогри, "IP
Параметры обнаружения MTU », RFC 1063, июль 1988 г.
[RFC1108] Кент, С., «США», RFC 1108, ноябрь 1991 г.
[RFC1385] Ван З., «EIP: Расширенный Интернет-протокол», RFC 1385,
Гонт и др. Истекает 12 июня 2014 г. [Страница 33]
Интернет-черновая фильтрация пакетов с IP-опцией, декабрь 2013 г.
Ноябрь 1992 г.
[RFC1393] Малкин Г., «Трассировка с использованием IP-адреса», RFC 1393,
Январь 1993 г.
[RFC1475] Ульманн Р., «TP / IX: The Next Internet», RFC 1475,
Июнь 1993 г.
[RFC1770] Графф, К., "Вариант IPv4 для многоадресной передачи, управляемой отправителем.
Назначение доставки ", RFC 1770, март 1995 г.[RFC2205] Брейден, Б., Чжан, Л., Берсон, С., Херцог, С., и С.
Джамин, "Протокол резервирования ресурсов (RSVP) - Версия 1"
Функциональная спецификация », RFC 2205, сентябрь 1997 г.
[RFC2407] Пайпер Д., "Домен IP-безопасности в Интернете
Интерпретация для ISAKMP ", RFC 2407, ноябрь 1998 г.
[RFC3585] Джейсон, Дж., Рафалоу, Л., и Э. Винке, «IPsec
Информационная модель политики конфигурации », RFC 3585,
Август 2003 г.
[RFC4782] Флойд, С., Оллман, М., Джайн, А., и П. Саролахти, "Quick-
Запуск для TCP и IP », RFC 4782, январь 2007 г.
[RFC4807] Баер, М., Шарле, Р., Хардакер, У., Стори, Р. и К.
Ван, «Конфигурация базы данных политики безопасности IPsec MIB»,
RFC 4807, март 2007 г.
[RFC4949] Ширей Р., «Глоссарий по безопасности в Интернете, версия 2»,
RFC 4949, август 2007 г.
[RFC5350] Маннер, Дж. И А. Макдональд, «Соображения IANA для
Параметры предупреждений маршрутизатора IPv4 и IPv6 », RFC 5350,
Сентябрь 2008 г.[RFC5570] StJohns, M., Atkinson, R., and G. Thomas, "Common
Метка архитектуры IPv6 Security Option (CALIPSO) »,
RFC 5570, июль 2009 г.
[RFC6192] Дугал, Д., Пигнатаро, К., и Р. Данн, "Защита
Уровень управления маршрутизатором », RFC 6192, март 2011 г.
[RFC6274] Гонт, Ф., "Оценка безопасности Интернет-протокола.
Версия 4 ", RFC 6274, июль 2011 г.
[SELinux2008]
Агентство национальной безопасности, "Linux с усиленной безопасностью" - АНБ /
Гонт и др.Истекает 12 июня 2014 г. [Страница 34]
Интернет-черновая фильтрация пакетов с IP-опцией, декабрь 2013 г.
CSS », январь 2009 г.,
.
[Solaris2008]
«Надежные расширения Solaris - помечены как безопасность для
Абсолютная защита », 2008 г., .
Адреса авторов
Фернандо Гонт
Сети UTN-FRH / SI6
Эваристо Карриего 2644
Хэдо, Провинция Буэнос-Айрес 1706
Аргентина
Телефон: +54 11 4650 8472
Электронная почта: fgont @ si6networks.ком
URI: http://www.si6networks.com
Р. Дж. Аткинсон
Консультант
Маклин, Вирджиния 22103
США
Почта: [email protected]
Карлос Пигнатаро
Cisco Systems, Inc.
7200-12 Kit Creek Road
Парк Исследований Треугольника, NC 27709
нас
Эл. Почта: [email protected]
Гонт и др. Истекает 12 июня 2014 г. [Страница 35]
Опции TCP и IP
Опции TCP и IP
Раньше я подробно говорил о наборе протоколов TCP / IP и его десятках протоколов.Когда люди обращаются к набору протоколов TCP / IP, они имеют в виду все уровни эталонной модели OSI. Имея это в виду, у нас наверняка есть десятки различных протоколов, которые приходят на ум. Подавляющая часть этих десятков протоколов находится на уровне приложений. Многие из этих протоколов прикладного уровня имеют любое количество связанных с ними уязвимостей.
А что насчет «четырех основных протоколов»? Что они собой представляют, что они делают и почему их называют «основными» протоколами? В описании статьи перечислены четыре основных протокола: IP для маршрутизации, TCP и UDP для транспорта и, наконец, ICMP для обработки сообщений об ошибках.Эти протоколы считаются основными, так как они должны быть в каждой операционной системе, чтобы иметь возможность общаться, например: отправлять пакеты. Итак, будь то Mac, BSD или операционная система другого типа, все они имеют эти основные протоколы, хотя иногда и реализованные другим стеком. Хорошим примером этого может служить Novell.
А для основного протокола хуже?
Итак, мы знаем, что операционные системы должны иметь эти основные протоколы для связи. Поскольку это сайт компьютерной безопасности, ориентированный на Windows, он требует дальнейшего изучения, чтобы увидеть, есть ли уязвимости, связанные с основными протоколами или, более конкретно, с какими-либо из их вариантов.Если у вас нет хорошей книги по TCP / IP, я бы посоветовал вам загрузить флаер TCP / IP и tcpdump. Вы увидите это внизу страницы. После того, как вы скачали эту страницу, в нижней части каждого протокола вы найдете его параметры, если таковые имеются.
Учитывая, что эти базовые протоколы повсеместно присутствуют в компьютерных коммуникациях сегодня, имеет смысл, что мы были бы заинтересованы в некоторых из их менее известных аспектов. Вот тут-то и пригодятся их варианты. Я предполагаю, что вы скачали страницу, на которую я только что указал гиперссылку.Мы видим, что внизу страницы для IP перечислены шесть различных вариантов. Теперь мы рассмотрим их по порядку и оценим с точки зрения компьютерной безопасности.
IP и его опции
Конец списка опций
Мы можем видеть, что эта опция IP имеет «доброе» значение 0 и ее длина составляет 1 байт. Для этого параметра IP нет известных проблем безопасности, и он используется только в конце параметров IP, используемых в заголовке.
Нет операции
Эта опция IP имеет значение «вида», равное 1, и под видом я подразумеваю, что это за опция.Этот параметр IP не следует путать с инструкцией NOP языка ассемблера. Команда Assembler NOP используется разработчиком эксплойта, чтобы позволить себе большое окно в стеке, в которое можно вернуть вредоносный код. Инструкция NOP, используемая в IP-заголовке, используется для заполнения другой опции, которая использовалась, чтобы заполнить 32-битную границу. Это было забавно, поскольку я ошибочно написал эту часть, пока не понял, что пишу о параметре IP, а не об идемпотентной инструкции NOP, используемой в Assembly.
Маршрут записи
Этот IP-вариант имеет значение типа семь и имеет переменную длину. Этот маршрут записи используется вместе с двумя другими вариантами IP: «Свободный исходный маршрут» и «Строгий исходный маршрут». Их значения вида соответственно равны 131 и 137. Маршрут записи или, более конкретно, пакеты маршрута свободной записи источника были давней проблемой компьютерной безопасности. Еще в 2002 году я смог определить, что W2K и XP все еще реверсируют первый переход пакета LSRR.Это было разрешено по умолчанию для этих стеков TCP / IP.
Хотя это может и не звучать как конец света, потому что это не так. Хотя это тоже нехорошо, так как полезно для атак. То же исследование в то время также показало мне, что большинство производителей межсетевых экранов, таких как Symantec Norton Firewall, также разрешали входящие пакеты LSRR. Достаточно сказать, что на самом деле нет никаких законных оснований видеть пакеты LSRR в сегодняшних сетях. Нет никакой реальной причины, по которой кто-то хотел бы указать серию переходов в пути пакетов.
Отметка времени
Эта опция имеет типовое значение 68 и используется маршрутизаторами для вставки отметки времени в пакет. Практическая ценность этой опции IP невелика, и я редко когда-либо видел, чтобы она использовалась. Я также никогда не видел и не слышал о каких-либо проблемах компьютерной безопасности, связанных с использованием или злоупотреблением этой опцией.
TCP и его параметры
Конец списка параметров
Этот параметр аналогичен параметру для IP с тем же номером и использованием.
Нет операции
Имеет значение вида 1 и также имеет длину один байт. Подобно параметру NOP заголовков IP, он также используется для дополнения другого параметра, который использовался, чтобы убедиться, что он попадает в 32-битное слово. TCP использует несколько параметров, которые не укладываются в 32-битное слово, например: не все они используют четыре байта.
Масштаб окна
Эта опция имеет значение типа три и размер байта, равный трем. Он используется для увеличения размера окна с 16-битного значения до 32-битного.У этого параметра нет никаких известных применений, поскольку он влияет на безопасность компьютера. Тем не менее, это очень удобный вариант, который при использовании также известен как «скользящее окно». Вы должны видеть эту опцию только во время трехстороннего установления связи TCP / IP.
Selective ACK ok
Эта опция TCP имеет значение типа 4 и длину в два байта. Насколько мне известно, нет никаких известных проблем компьютерной безопасности, связанных с этой опцией. Опция должна отображаться только во время трехстороннего подтверждения TCP / IP.
Отметка времени
Эта опция TCP имеет значение типа восемь и переменную длину. Эта опция используется TCP двумя способами. Один из них предназначен для расчета RTT или времени обратного срабатывания, а второй используется для предотвращения атаки PAWS или защиты от обернутых последовательностей. Это вариант, который можно увидеть в пакете.
Заключение
Мы рассмотрели все варианты, доступные в настоящее время как для TCP, так и для IP. Вы можете спросить себя, а как насчет UDP и ICMP? В настоящее время вариантов ни для одного из них нет.Если вы хотите поэкспериментировать с некоторыми из этих опций для TCP и IP, то вам рекомендуется загрузить крафтер пакетов. Хорошая программа для создания пакетов позволит вам управлять почти всеми полями TCP или IP. Что ж, я искренне надеюсь, что эта статья была вам полезна, и, как всегда, приветствую ваши отзывы. До следующего раза!
Просмотры сообщений: 3 810
Раздел 18.3. Параметры IP — linux 缼 Ļ — Ƕʽlinux վ
18,3. Опции IP
Как описано ранее в этой главе, сетевые стеки необходимы для реализации ряда опций IP, которые приложения могут использовать, если захотят.Для размещения информации, связанной с опциями, основной 20-байтовый IP-заголовок расширяется еще до 40 байтов.
Большинство параметров IP используются очень редко и в определенных контекстах. Различные варианты могут быть объединены в один IP-пакет. Однако, за исключением опций «Конец списка опций» и «Нет операции», в заголовке может быть не более одного экземпляра каждой опции. Наличие опций также влияет на процесс фрагментации / дефрагментации, как мы увидим в разделе «Фрагментация / дефрагментация пакетов».«
Некоторые параметры очень просты и могут быть указаны одним байтом; более сложные параметры требуют более гибкого формата и называются многобайтовыми параметрами .
Рисунок 18-4 показывает формат обоих видов опций. Обратите внимание, что данные опции в многобайтовой опции не начинаются с 32-битной границы.
Рисунок 18-4. (a) Формат варианта единого IP; (b) многобайтовый IP-вариант формата
Каждая опция имеет 8-битное поле с именем type, которое может быть далее разложено на три подполя, показанных на рисунке 18-5.Наиболее распространенные значения типа перечислены в Таблице 18-1. Он показывает символы, используемые ядром Linux для опций, и то, как значение символа разбивается на три поля на рисунке 18-5.
Рисунок 18-5. Формат поля типа параметров IP
Если установлено копирование, уровень IP должен копировать параметр в каждый фрагмент, когда пакет нуждается в фрагментации. class классифицирует вариант по четырем критериям; их можно использовать для фильтрации пакетов на основе опций IP или для применения к этим пакетам различных параметров QoS.
Опция | Символ, используемый в исходном коде ядра | Номер | (00) / Зарезервировано (01) / Измерение (10) / Зарезервировано (11)||||||
|---|---|---|---|---|---|---|---|---|
Конец списка опций | IPOPT_END | 0 | 0 Управление | |||||
Нет работы | IPOPT_NOOP | 1 | 0 | Контроль | ||||
| | ||||||||
Контроль | ||||||||
Свободный источник и запись Ro ute | IPOPT_LSRR | 3 | 1 | Контроль | ||||
Временная метка | IPOPT | | ||||||
Маршрут записи | IPOPT_RR | 7 | 0 | Контроль | ||||
Control | ||||||||
Strict Source and Record Route | IPOPT_SSRR | 9 | 1 | | IP-адрес 20 | 1 | Control |
В включают / linux / ip.h , вы можете найти определения типов опций, а также некоторые макросы, которые можно использовать для доступа к их подполям. Например, следующие три макроса могут использоваться для извлечения частей числа, копий и классов соответственно: IPOPT_NUMBER, IPOTP_COPIED и IPOPT_CLASS.
Дополнительные поля, показанные на рисунке 18-4 (b), используемые многобайтовыми параметрами:
Длина
Длина опции в октетах, включая тип и длину.
Указатель
Смещение, измеренное от начала опции и используемое различными способами, поскольку хосты обрабатывают опцию по пути. Вы увидите несколько примеров в следующих разделах. Нумерация начинается с 1, а не с 0 (т. Е. 1 определяет расположение поля типа).
Данные опции
Пространство для любых данных, которые должны храниться промежуточными хостами, обрабатывающими параметр. Позже вы увидите несколько примеров.
В следующих подразделах мы увидим, как работают параметры в Таблице 18-1, которые обрабатываются Linux.
18.3.1. Опции «Конец списка опций» и «Нет операции»
Размер IP-заголовка без параметров составляет 20 байт. Если размер параметров IP не кратен 4 байтам, отправитель дополняет заголовок IP параметром IPOPT_END, чтобы выровнять его по 4-байтовой границе. Это необходимо, потому что поле длины заголовка IP-заголовка выражается кратными 4 байтам.
Опция IPOPT_NOOP может использоваться для заполнения между опциями, например, для выравнивания последующей опции IP с заданной границей. В главе 19 мы увидим, что Linux использует его также как удобный способ удаления параметров из заголовка IP.
18.3.2. Вариант исходного маршрута
Маршрутизация от источника позволяет отправителю указать путь, по которому пакет идет к получателю. Тип исходной маршрутизации доступен как на L2, так и на L3; Я расскажу о реализации L3 здесь.
Source Routing — это многобайтовый вариант, в котором исходный узел перечисляет IP-адреса, которые будут использоваться на последующих переходах. Конечно, если один из маршрутизаторов в списке выйдет из строя, пакет с маршрутизацией от источника не сможет получить выгоду от какой-либо динамической перенаправления, выполняемой по протоколам маршрутизации. Обычно, когда маршрутизатор выходит из строя, протоколы более высокого уровня вычисляют новый исходный маршрут и повторно отправляют пакет. Иногда им не разрешается указывать новый маршрут, возможно, из соображений безопасности.
Маршрутизация от источника может быть двух типов: строгая и свободная.При строгой маршрутизации от источника отправитель должен указать IP-адреса каждого маршрутизатора на пути, и никакие изменения не могут быть внесены в процессе. При свободной маршрутизации от источника один из промежуточных маршрутизаторов может использовать другой маршрутизатор, не указанный в списке, как способ добраться до следующего маршрутизатора в списке. Однако все маршрутизаторы, указанные отправителем, должны по-прежнему использоваться в указанном порядке.
Например, рассмотрим сети и маршрутизаторы на Рисунке 18-6. Предположим, хост X хочет отправить пакет хосту Y, используя параметр строгой маршрутизации от источника.В этом случае Хост X должен указать все промежуточные адреса маршрутизатора. Примером строгого маршрута от источника может быть R_1 R_2 R_3 Host Y. При слабой маршрутизации от источника будет достаточно чего-то вроде R_1 R_3. Использование несмежных маршрутизаторов (то есть R_1 и R_3 в этом примере) разрешено и имеет преимущества: если R_2 не работает, вместо него можно использовать R_2b, и наоборот.
Рисунок 18-6. Пример маршрутизации IP от источника
18.3.3. Записать вариант маршрута
Цель этой опции — попросить маршрутизаторы на пути между источником и местом назначения сохранить IP-адреса исходящих интерфейсов, которые они используют для пересылки пакета.Из-за ограниченного пространства в заголовке можно сохранить максимум девять адресов (и даже меньше, если заголовок содержит другие параметры). Следовательно, пакет прибывает с первыми девятью адресами, хранящимися в опции; получатель не имеет возможности узнать, какие маршрутизаторы использовались после этого. Поскольку эта опция увеличивает заголовок (и, следовательно, IP-пакет), и поскольку в заголовке могут присутствовать другие параметры, отправитель должен зарезервировать пространство, которое будет использоваться для хранения адресов.Если зарезервированное пространство заполняется до того, как пакет дойдет до места назначения, дополнительные адреса не добавляются в список, даже если это позволяет максимальный размер IP-заголовка. Ошибки (сообщения ICMP) не создаются, если нет места для хранения нового адреса. По очевидным причинам отправитель должен зарезервировать объем пространства, кратный 4 байтам (размеру IP-адреса).
На рис. 18-7 показано, как часть заголовка IP, выделенная для этой опции, изменяется шаг за шагом.Когда каждый маршрутизатор заполняет свой адрес, он также обновляет поле указателя, чтобы указать конец данных в опции. Смещения в нижней части рисунка начинаются с 1, чтобы вы могли сравнить их со значением поля указателя.
Рисунок 18-7. Пример опции записи маршрута
18.3.4. Параметр отметки времени
Этот вариант является наиболее сложным, поскольку он содержит подопции и, в отличие от параметра «Запись маршрута», обрабатывает переполнения.Чтобы управлять этими двумя дополнительными концепциями, ему нужен дополнительный байт в заголовке, как показано на рисунке 18-8.
Рисунок 18-8. Заголовок опции IP Timestamp
Первые три байта имеют то же значение, что и другие параметры: тип, длина и указатель. Четвертый байт фактически разделен на два поля по четыре бита каждое. Крайние правые четыре бита (наименее значимые) представляют код подкоманды, который может изменять действие параметра. Возможные значения:
ЗАПИСЬ ВРЕМЕНИ
Каждый маршрутизатор записывает время получения пакета.
ЗАПИСЬ АДРЕСА И ВРЕМЕНИ
Аналогично предыдущей подкоманде, но IP-адрес принимающего интерфейса также сохраняется.
ЗАПИСЫВАЙТЕ ТАЙМЕРЫ ТОЛЬКО В ПРЕДНАЗНАЧЕННЫХ СИСТЕМАХ
Каждый маршрутизатор записывает время, в которое он получил пакет (как и в случае RECORD TIMESTAMPS), но только по определенным IP-адресам, выбранным отправителем.
Во всех трех случаях время выражается в миллисекундах (в 32-битной переменной) с полуночи по всемирному координированному времени текущего дня.
Остальные четыре бита представляют так называемое поле переполнения. Поскольку параметр TIMESTAMP используется для записи информации по маршруту, а пространство, доступное для этой цели в заголовке IP, ограничено 40 байтами, могут быть случаи, когда маршрутизатор не может записать информацию из-за нехватки места. В то время как обработка опции Record Route просто игнорирует этот случай, оставляя получателя не знать, сколько раз это происходило, опция TIMESTAMP увеличивает поле переполнения каждый раз, когда это происходит.К сожалению, переполнение — это 4-битное поле и поэтому может иметь максимальное значение 15: в современных сетях оно само может легко переполниться. Когда это происходит, маршрутизатор, в котором происходит переполнение, должен вернуть сообщение об ошибке параметра ICMP исходному отправителю.
В то время как первые две подопции похожи (они различаются только тем, что нужно экономить на каждом переходе), третья подопция немного отличается и заслуживает нескольких слов. Исходный отправитель пакета перечисляет интересующие его IP-адреса, после каждого из которых следует четыре байта пространства.На каждом шаге поле указателя параметра указывает смещение следующего 4-байтового пространства. Каждый маршрутизатор, который появляется в списке адресов, заполняет соответствующее пространство меткой времени и обновляет поле указателя. См. Рисунок 18-9. Подчеркнутые хосты в последовательности вверху рисунка — это хосты, которые добавляют отметки времени. Смещения в нижней части рисунка начинаются с 1, чтобы вы могли сравнить их со значением поля указателя.
18.3.5. Опция оповещения маршрутизатора
Эта опция была добавлена в определение протокола IP в 1995 году и описана в RFC 2113.Он помечает пакеты, которые требуют особой обработки, помимо простого просмотра адреса назначения и пересылки пакета. Например, протокол резервирования ресурсов (RSVP), который пытается улучшить QoS для потока пакетов, использует эту опцию, чтобы сообщить маршрутизаторам, что он должен обрабатывать пакеты в этом потоке особым образом. Прямо сейчас последним двум байтам присвоено только одно значение — ноль. Это просто означает, что маршрутизатор должен проверить пакет. Пакеты, содержащие другие значения, являются недопустимыми, и их следует отбрасывать, генерируя сообщение об ошибке ICMP для источника, который их сгенерировал.
Рисунок 18-9. Пример сохранения опции Timestamp для предварительно заданных систем
Параметры IPv4 | Nmap Сетевое сканирование
-S , --source-ip (IP-адрес источника) Устанавливает исходный IP-адрес. Эта опция позволяет вам указать собственный IP-адрес.
адрес, который будет использоваться как исходный IP-адрес в отправленных пакетах.Этот
позволяет подменить отправителя пакетов. может быть адресом IPv4 или именем хоста.
--dest-ip (IP-адрес назначения)Добавляет цель в список целей Nping. Эта опция предназначена для единообразия, но ее использование не рекомендуется. в пользу простых целевых спецификаций. Видеть раздел под названием «Target Specification».
--tos (Тип услуги) Устанавливает поле IP TOS. Поле TOS используется для переноса информации.
обеспечить качество услуг. Обычно используется для
поддерживать технику, называемую дифференцированными услугами. Видеть
RFC 2474
для
больше информации. должно быть числом
в диапазоне [0–255].
--id (Идентификация) Устанавливает поле идентификации IPv4. Поле идентификации — это
16-битное значение, общее для всех фрагментов, принадлежащих определенному
сообщение. Значение используется получателем для повторной сборки
исходное сообщение из полученных фрагментов. должно быть числом в диапазоне [0–65535].
--df (Не фрагментировать)Устанавливает бит Не фрагментировать в отправленных пакетах. Когда У IP-дейтаграммы установлен флаг DF, промежуточные устройства не разрешено фрагментировать его, поэтому, если ему нужно перемещаться по сети с MTU меньше, чем длина дейтаграммы, дейтаграмма будет иметь быть отброшенным. Обычно сообщение ICMP о недоступности пункта назначения создается и отправляется обратно отправителю.
--mf (Еще фрагменты)Устанавливает бит Больше фрагментов в отправленных пакетах. MF установлен, чтобы указать получателю, что текущая дейтаграмма фрагмент какой-то более крупной датаграммы. Когда установлено на ноль, это указывает что текущая дейтаграмма является либо последним фрагментом в наборе или что это единственный фрагмент.
--ttl (Пора жить) Устанавливает для поля IPv4 Time-To-Live (TTL) в отправленных пакетах заданное значение.
значение.Поле TTL указывает, как долго датаграмма разрешена.
существовать в сети. Первоначально он предназначался для представления
количество секунд, но на самом деле это количество
переходов, по которым может пройти пакет, прежде чем он будет отброшен. TTL пытается
избежать ситуации, когда недоставленные дейтаграммы остаются
перенаправляется с одного маршрутизатора на другой бесконечно. должно быть числом в диапазоне [0–255].
--badsum-ip (неверная контрольная сумма IP)Просит Nping использовать неверную контрольную сумму IP для пакетов, отправленных на целевые хосты. Обратите внимание, что некоторые системы (например, большинство ядер Linux), может исправить контрольную сумму перед размещением пакета на проводе, поэтому даже если Nping показывает неверную контрольную сумму в своем выводе, пакеты могут быть прозрачно исправлены ядром.
--ip-options , --ip-options <шестнадцатеричная строка> (параметры IP)Протокол IP предлагает несколько опций, которые можно разместить в заголовки пакетов. В отличие от широко распространенных параметров TCP, параметры IP являются редко встречается из-за практичности и соображений безопасности. По факту, многие интернет-маршрутизаторы блокируют самые опасные опции, такие как исходная маршрутизация. Тем не менее в некоторых случаях параметры могут быть полезны для определение и управление сетевым маршрутом к целевым машинам.Например, вы можете использовать опцию записи маршрута для определять путь к цели даже в более традиционных Подходы в стиле traceroute терпят неудачу. Или если ваши пакеты сброшено определенным брандмауэром, вы можете указать другой маршрут со строгой или свободной маршрутизацией от источника.
Самый эффективный способ указать параметры IP — просто передать шестнадцатеричные данные.
в качестве аргумента для --ip-options .Перед каждым значением шестнадцатеричного байта
с \ х . Вы можете повторять определенные символы
после них поставьте звездочку, а затем, сколько раз вы
желаю, чтобы они повторились. Например, \ x01 \ x07 \ x04 \ x00 * 4 совпадает с \ x01 \ x07 \ x04 \ x00 \ x00 \ x00 \ x00 .
Обратите внимание, что если вы укажете количество байтов, не кратное из четырех, в IP-адресе будет установлена неверная длина заголовка IP. пакет.Причина в том, что поле длины IP-заголовка может выражать только число, кратное четырем. В этих случаях длина составляет вычисляется путем деления длины заголовка на 4 и округления в меньшую сторону. Это будет влияют на то, как заголовок, следующий за IP-заголовком, интерпретируется, показывая ложную информацию в Nping или в выводе любого сниффера. Хотя такая ситуация может быть полезна для некоторых стресс-тестов стека пользователи обычно хотят укажите явное заполнение, чтобы установить правильную длину заголовка.
Nping также предлагает механизм быстрого доступа для указания параметров.
Просто передайте письмо R , T или U , чтобы запросить запись маршрута,
record-timestamp или оба варианта вместе соответственно. Свободный
или строгая маршрутизация от источника может быть указана с помощью L или S, за которыми следует
через пробел, а затем список IP-адресов, разделенных пробелами.
Для получения дополнительной информации и примеров использования параметров IP с Nping, см. сообщение в списке рассылки по адресу http: // seclists.org / nmap-dev / 2006 / q3 / 0052.html.
--mtu <размер> (Максимальный блок передачи) Эта опция устанавливает фиктивный MTU в Nping, поэтому IP-датаграммы больше, чем <размер> перед передачей фрагментированы. <размер> должно быть указано в байтах и
соответствует количеству октетов, которое может быть перенесено на
один кадр канального уровня.
ip (8) — страница руководства Linux
ip (8) — страница руководства LinuxIP (8) Linux IP (8)
НАЗВАНИЕ вверху
ip - показать / управлять маршрутизацией, сетевыми устройствами, интерфейсами и
туннели
ОБЗОР вверху
ip [ ОПЦИИ ] ОБЪЕКТ { КОМАНДА | справка }
ip [ -force ] -batch имя_файла
ОБЪЕКТ : = { ссылка | адрес | addrlabel | маршрут | правило | Nigh |
ntable | тоннель | тунтап | адрес | mroute | mrule |
монитор | xfrm | netns | l2tp | tcp_metrics | токен |
macsec | vrf | mptcp }
ОПЦИИ : = { -V [ ersion ] | -h [ для умножения ] | -s [ татистика ] |
-d [ электронная почта ] | -r [ esolve ] | -iec | -f [ amily ] { inet | инет6
| ссылка } | -4 | -6 | -I | -D | -B | -0 | -l [ ой ] {
максимальное количество попыток сброса адреса } | -o [ neline ] | -rc [ vbuf ]
[ размер ] | -t [ imestamp ] | -ts [ hort ] | -n [ etns ] имя |
-N [ umeric ] | -a [ ll ] | -c [ цвет ] | -br [ ief ] | -j [сын] |
-p [retty]}
ОПЦИИ вверху
-V , -Версия
Распечатайте версию утилиты ip и выйдите. -h , -человеческий , -человечески читаемый
вывод статистики с удобочитаемыми значениями, за которыми следует
суффикс.
-b , -batch
Прочитать команды из предоставленного файла или стандартного ввода и
призывать их. Первая ошибка приведет к прекращению действия ip.
-force Не завершать ip при ошибках в пакетном режиме. Если бы были
любые ошибки во время выполнения команд,
код возврата приложения будет отличным от нуля. -s , -статистика , -статистика
Выведите больше информации. Если опция появляется дважды или
больше, количество информации увеличивается. Как правило,
информация - это статистика или некоторые временные значения.
-d , -детали
Выведите более подробную информацию.
-l , -контур
Укажите максимальное количество циклов очистки IP-адреса
логика попытается, прежде чем сдаться.По умолчанию - 10.
Ноль (0) означает цикл до тех пор, пока не будут удалены все адреса.
-f , -семейство <СЕМЬЯ>
Задает используемое семейство протоколов. Семейство протоколов
идентификатор может быть одним из inet , inet6 , bridge , mpls или
ссылка . Если этот параметр отсутствует, семейство протоколов
догадывается из других аргументов. Если остальная часть
командная строка не дает достаточно информации, чтобы угадать
family, ip возвращается к исходному, обычно inet или
любой .Ссылка - это специальный идентификатор семейства, означающий, что нет
сетевой протокол задействован.
-4 ярлык для -семейства inet .
-6 ярлык для -семейства inet6 .
-B ярлык для -семейного моста .
-M ярлык для -семейства mpls .
-0 ярлык для -семейной ссылки .
-о , -oneline
выводить каждую запись в отдельной строке, заменяя перевод строки
с символом '\' .Это удобно, когда ты хочешь
для подсчета записей с помощью wc (1) или для вывода grep (1).
-r , -разрешить
вместо этого используйте преобразователь имен системы для печати имен DNS
адресов хоста.
-n , -netns
переключает ip на указанное сетевое пространство имен NETNS .
Фактически это просто упрощает выполнение:
ip netns exec NETNS ip [ ОПЦИИ ] ОБЪЕКТ { КОМАНДА | справка
}
к
ip -n [etns] NETNS [ ОПЦИИ ] ОБЪЕКТ { КОМАНДА | справка }
-N , -числовой
Напрямую выведите номер протокола, области действия, поля dsfield и т. Д.
вместо преобразования его в удобочитаемое имя. -a , -все
выполняет указанную команду над всеми объектами, это зависит от того,
команда поддерживает эту опцию.
-c [ цвет ] [ = { всегда | авто | никогда }
Настроить цветной вывод. Если параметр опущен или всегда ,
цветной вывод включен независимо от состояния стандартного вывода. Если
параметр - auto , stdout проверяется как терминал
перед включением цветного вывода.Если параметр никогда не , цвет
вывод отключен. Если указано несколько раз, последний
один имеет приоритет. Этот флаг игнорируется, если -json
также дано.
На используемую цветовую палитру может влиять COLORFGBG
переменная окружения (см. ОКРУЖЕНИЕ ).
-t , -отметка времени
отображать текущее время при использовании опции монитора.
-ts , -tshort
Как -timestamp , но в более коротком формате. -rc , -rcvbuf <РАЗМЕР>
Установите размер приемного буфера сокета netlink, по умолчанию
1 МБ.
-iec печатает удобочитаемую скорость в единицах IEC (например, 1Ki = 1024).
-br , -краткий
Печатайте только основную информацию в табличном формате для
лучшая читаемость. Этот вариант в настоящее время доступен только
поддерживается командами ip addr show и ip link show . -j , -json
Вывод результатов в нотации объектов JavaScript (JSON).
-p , -pretty
Формат JSON по умолчанию компактен и более эффективен для
синтаксический анализ, но его трудно читать большинству пользователей. Этот флаг добавляет
отступ для удобочитаемости.
IP — COMMAND SYNTAX top
ОБЪЕКТ
адрес
- адрес протокола (IP или IPv6) на устройстве. addrlabel
- конфигурация метки для выбора адреса протокола.
l2tp - туннель Ethernet через IP (L2TPv3).
link - сетевое устройство.
медресе
- адрес многоадресной рассылки.
монитор
- следите за сообщениями netlink.
mptcp - управление менеджером путей MPTCP.
mroute - запись в кэше многоадресной маршрутизации.
mrule - правило в базе данных политик многоадресной маршрутизации. сосед
- управлять записями кэша ARP или NDISC.
netns - управление сетевыми пространствами имен.
ntable - управлять работой соседнего кеша.
route - запись в таблице маршрутизации.
правило - правило в базе данных политик маршрутизации.
tcp_metrics / tcpmetrics
- управлять метриками TCP
token - управление токенизированными идентификаторами интерфейса.
tunnel - туннель по IP. tuntap - управление устройствами TUN / TAP.
vrf - управление устройствами виртуальной маршрутизации и пересылки.
xfrm - управление политиками IPSec.
Названия всех объектов могут быть написаны полностью или сокращенно.
Например, адрес может быть сокращен как адрес или просто a.
КОМАНДА
Задает действие, выполняемое над объектом. Набор
возможные действия зависят от типа объекта.Как правило, это
возможно к добавить , удалить и показать объекты (или список ), но некоторые
объекты не допускают всех этих операций или имеют некоторые
дополнительные команды. Команда help доступна для всех
объекты. Он распечатывает список доступных команд и аргументов.
соглашения о синтаксисе.
Если команда не задана, предполагается какая-то команда по умолчанию. Обычно
это список или, если объекты этого класса не могут быть перечислены,
справка .ОКРУЖАЮЩАЯ СРЕДА наверху
COLORFGBG
Если установлено, это значение используется для определения того,
фон темный или светлый и используйте контрастные цвета для
Это.
Переменная среды COLORFGBG обычно содержит два
или три значения, разделенные точкой с запятой; мы хотим последнее
значение в любом случае. Если это значение 0-6 или 8, выберите
цвета, подходящие для темного фона:
COLORFGBG = "; 0" ip -c a
СТАТУС ВЫХОДА вверху
Статус выхода равен 0, если команда была успешной, и 1, если есть
синтаксическая ошибка.Если ошибка была сообщена статусом выхода ядра
равно 2.
ПРИМЕРЫ наверху
IP-адрес
Показывает адреса, назначенные всем сетевым интерфейсам.
ip ржать
Показывает текущую таблицу соседей в ядре.
IP-ссылка установлена x
Поднимите интерфейс x.
IP-ссылка установлена x отключена
Сбиваем интерфейс х.
IP-маршрут
Показать маршруты по таблице.
ИСТОРИЯ вверху
ip написал Алексей Н.Кузнецова и добавлен в Linux 2.2.
СМОТРИ ТАКЖЕ top
ip-адрес (8), ip-addrlabel (8), ip-l2tp (8), ip-link (8),
ip-maddress (8), ip-monitor (8), ip-mptcp (8), ip-mroute (8),
ip-neighbour (8), ip-netns (8), ip-ntable (8), ip-route (8),
ip-rule (8), ip-tcp_metrics (8), ip-token (8), ip-tunnel (8),
ip-vrf (8), ip-xfrm (8)
Ссылка на IP-команду ip-cref.ps
СООБЩЕНИЕ ОБ ОШИБКАХ top
Сообщайте о любых ошибках в список рассылки Network Developers.
, где разрабатываются и обслуживаются
в первую очередь сделано. Вам не нужно подписываться на список, чтобы
отправьте сообщение туда.
АВТОР верх
Оригинальная справочная страница Михаила Литвака
ТОП КОЛОФОН
Эта страница является частью iproute2 (утилит для управления
Сеть TCP / IP и трафик). Информация о
проект можно найти на
⟨Http: // www.linuxfoundation.org/collaborate/workgroups/networking/iproute2⟩.
Если у вас есть отчет об ошибке для этой страницы руководства, отправьте его по адресу
[email protected], [email protected]. Эта страница была
получено из исходного репозитория Git проекта
⟨Https: //git.kernel.org/pub/scm/network/iproute2/iproute2.git⟩ на
2021-04-01. (В то время дата последней фиксации
что было найдено в репозитории было 2021-03-22.) Если вы
обнаруживать любые проблемы с отображением в этой HTML-версии страницы,
или вы считаете, что есть лучший или более современный источник для
страницу, или у вас есть исправления или улучшения в
информация в этом КОЛОФОНЕ (который является , а не частью оригинала
страница руководства), отправьте письмо по адресу man-pages @ man7.орг
Страницы, которые ссылаются на эту страницу: networkctl (1), pmdanetcheck (1), veth (4), bpf-helpers (7), ip (7), network_namespaces (7), arptables-nft (8), мост (8), ebtables-nft (8), genl (8), ifstat (8), ip-адрес (8), ip-addrlabel (8), ип-фоу (8), ip-l2tp (8), ip-ссылка (8), ipmaddr (8), ip-maddress (8), ip-монитор (8), ip-mroute (8), ip-сосед (8), ip-netconf (8), ip-netns (8), ip-nexthop (8), ip-ntable (8), ip-route (8), ip-правило (8), ip-tcp_metrics (8), ip-токен (8), ip-туннель (8), iptunnel (8), ip-vrf (8), lnstat (8), netstat (8), пинг (8), rdma-dev (8), роутель (8), rtmon (8), ртпр (8), сс (8), tc-bfifo (8), tc-pfifo_fast (8), wg (8), wg-quick (8)
.
0 thoughts on “Варианты ип: Налогообложение ИП, возможные варианты и режимы!”