Comportamiento extraño en la función BFD echo

Pubilicado 2019-1-26 04:46:28 21 0 0 0

El mecanismo de detección del protocolo BFD de los Routers AR G3 tiene algo llamado Echo, que Comprueba la conectividad del enlace de reenvío haciendo un loop de paquetes. Puede usar la función BFD Echo cuando uno de los dos dispositivos conectados directamente no es compatible con BFD. En este caso, puede configurar BFD Echo en el dispositivo compatible con BFD. Ese dispositivo envía un paquete de solicitud de Echo al dispositivo remoto. El dispositivo remoto luego envía el paquete de solicitud de Echo nuevamente a lo largo de la misma ruta para detectar la conectividad del enlace de envío.


 

 044835ulghbdefkaqazsa3.png?image.png

 

 

Una imagen ayudará a entender los datos anteriores.

 

Regresando al tema; tenemos la versión V 157R005C20SPC200 en nuestro AR157 que se conecta con un equipo de terceros sin capacidad de BFD.

La configuración de la función de eco BFD es bastante básica, como podemos ver a continuación:

 bfd atob bind peer-ip 10. 1.1.1 interface Dialer1 one-arm-echo 

 discriminator local 1 

 min-echo-rx-interval 100 

 commit 

 # 

 

Desafortunadamente, la sesión BFD se mantiene en “Down”:

[AR router]dis bfd session all 

 -------------------------------------------------------------------------------- 

 Local Remote     PeerIpAddr      State     Type         InterfaceName 

 -------------------------------------------------------------------------------- 

 1             -            10.1.1.1          Down   S_IP_IF        Dialer1 

 -------------------------------------------------------------------------------- 

 Total UP/DOWN Session Number : 0/1

 

 

Encontremos la razón:

Al revisar la configuración de manera un poco más profunda, nos damos cuenta de que la configuración del Firewall está permitiendo que funcione el BFD:

 interface Dialer1 

 link-protocol ppp 

 ppp chap user xxxx

 ppp chap password simple xxxxx

 ip address ppp-negotiate 

 dialer user xx

 dialer bundle x

 dialer-group x 

 nat outbound x

zone untrust 

 bfd atob bind peer-ip 10.1.1.1 interface Dialer1 one-arm-echo 

 discriminator local 1 

 min-echo-rx-interval 100 

 commit 

 # 

 

Resulta que la interface la inerfaz dialer es la que tiene activada el BFP, pero está conectada a una zona Untrust.

La interzona de la zona local a la untrust es permitida, por lo que normalmente, los paquetes BFD deberán ser procesados de acuerdo al router AR.

 

 firewall interzone local untrust 

 firewall enable 

 packet-filter 3000 inbound 

 # 

 acl number 3000 

rule 1 permit ip source 10.1.1.1 0 

  ............

 rule 45 permit ip 

  .........

 rule 55 permit udp 

 

Como los paquetes BFD están permitidos, he hecho una captura de paquetes para ver si el nodo remoto está regresando los paquetes de regreso al AR y de hecho así es:


044722xsbfd88ew8iessna.png?image.png

 

Entonces debe haber algo faltante en el AR que hace que no acepte los paquetes de Echo del BFD.

 

Al revisar la configuración, más profundamente, encuentro que la configuración del firewall puede estar causando problemas:

 

firewall defend land enable 

 firewall defend smurf enable 

 firewall defend fraggle enable 

 firewall defend winnuke enable 

 firewall defend syn-flood enable 

 firewall defend udp-flood enable 

 firewall defend icmp-flood enable 

 firewall defend ip-sweep enable 

 firewall defend port-scan enable 

 firewall defend ping-of-death enable 

 firewall defend teardrop enable 

 firewall defend large-icmp enable 

 

 

 

El Land attack defence está activado, por lo que decido deshabilitarlo y en efecto esto permite que BFD comience a funcionar.

¿Qué es lo que ocurrió?

Para empezar, el ataque de LAND (Local Area Network Denial) consiste en enviar paquetes malignos de spoofing a una computadora, causando que esta se bloquee. Este ataque envía paquetes IP de spoofing que generalmente son TCP SYN teniendo la IP de la computadora como destino y así abriendo un puerto tanto de origen como de destino, esto causa que la máquina se conteste a si misma de manera reiterativa causándole daño.

Entonces, eso fue exactamente lo que sucedió. El router AR envió un segmento UDP de Echo, que tiene el mismo origen y destino IP, el cual regresa al AR porque tiene la misma IP de origen y destino, por lo que considera que es un tipo de ataque LAND y lo bota.

 

Para concluir, la configuración del Firewall, podría impactar a otro protocolo antes de comisionar servicios y otros productos, por lo que lo mejor es revisar toda la configuración del firewall que se haya implementado en el dispositivo. Hay que asegurarse de revisar toda la configuración del dispositivo una vez que sepamos exactamente lo que hace cada comando en el sistema.

Espero hayas disfrutado leer esto.

Gracias.

 

 

 

 


This post was last edited by terae7 at 2019-1-26 04:49.
  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
Respuesta rápida Desplácese hasta arriba