TTLが切れたパケットによる攻撃から機器を保護するアクセスリストをASR1000ルータに設定
した場合の動作について説明します。
ルータのインターフェイスには以下のようなアクセスリストが設定されています。
設定例:
ip access-list extended TTL
deny ip any any ttl eq 1
deny ip any any ttl eq 0
permit ip any any
interface GigabitEthernet0/0/2
ip address 10.1.1.1 255.255.255.0
ip access-group TTL in
この設定で、GigabitEthernet0/0/2インターフェイスから受信した自宛のTTL=1または0のパケットが
アクセスリストのdeny文によって破棄されますが、自宛でないTTL=1または0のパケットはアクセスリストで破棄されません。
これは、ASR1000シリーズルータの実装上の動作です。
なお、TTLが切れたパケットを一定量受信した場合にESPで破棄する機能がデフォルトで備わって
いるため、CPUへの影響はありません。ESPで破棄されたパケットは以下のコマンドで確認できます。
ASR1001-HX#show platform hardware qfp active statistics drop
Load for five secs: 1%/0%; one minute: 0%; five minutes: 0%
Time source is NTP, *12:44:21.309 JST Fri Oct 26 2018
-------------------------------------------------------------------------
Global Drop Stats Packets Octets
-------------------------------------------------------------------------
IpTtlExceeded 75 3150
参考情報
TTL Expiry Attack Identification and Mitigation
https://www.cisco.com/c/en/us/about/security-center/ttl-expiry-attack.html