Este tipo de ataque es comúnmente utilizado por los hackers. Envían grandes flujos de paquetes con opciones IP configuradas generando un DoS en los routers afectados y aguas abajo. También pueden configurar la opción source-route para modificar la ruta del paquete generando tráfico no deseado dentro de nuestra red.

La siguiente es la lista de opciones para un paquete IP:

IP Options value
 add-ext       Match packets with Address Extension Option (147)
 any-options   Match packets with ANY Option
 com-security  Match packets with Commercial Security Option (134)
 dps           Match packets with Dynamic Packet State Option (151)
 encode        Match packets with Encode Option (15)
 eool          Match packets with End of Options (0)
 ext-ip        Match packets with Extended IP Option (145)
 ext-security  Match packets with Extended Security Option (133)
 finn          Match packets with Experimental Flow Control Option (205)
 imitd         Match packets with IMI Traffic Desriptor Option (144)
 lsr           Match packets with Loose Source Route Option (131)
 mtup          Match packets with MTU Probe Option (11)
 mtur          Match packets with MTU Reply Option (12)
 no-op         Match packets with No Operation Option (1)
 nsapa         Match packets with NSAP Addresses Option (150)
 record-route  Match packets with Record Route Option (7)
 router-alert  Match packets with Router Alert Option (148)
 sdb           Match packets with Selective Directed Broadcast Option (149)
 security      Match packets with Basic Security Option (130)
 ssr           Match packets with Strict Source Routing Option (137)
 stream-id     Match packets with Stream ID Option (136)
 timestamp     Match packets with Time Stamp Option (68)
 traceroute    Match packets with Trace Route Option (82)
 ump           Match packets with Upstream Multicast Packet Option (152)
 visa          Match packets with Experimental Access Control Option (142)
 zsu           Match packets with Experimental Measurement Option (10)

Las opciones IP son peligrosas en los routers Cisco porque los campos de opciones IP en la cabecera IP no son procesados en el motor de reenvío hardware. El motor de reenvío reenvía estos paquetes al procesador de rutas que es un procesador de software. El RP puede sobrecargarse fácilmente descartando paquetes de alta prioridad o de protocolo de enrutamiento.

¿Cómo protegemos nuestro dispositivo?

R2# conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R2(config)# ip option
R2(config)# ip options drop
% Warning: RSVP and other protocols that use IP Options packets
may not function as expected.

Ahora podemos ver si entraron paquetes con algunas opciones IP configuradas:

R2(config)# do sh ip traff
 IP statistics:
   Rcvd:  2436 total, 802 local destination
          0 format errors, 0 checksum errors, 0 bad hop count
          0 unknown protocol, 0 not a gateway
          0 security failures, 0 bad options, 0 with options
   Opts:  0 end, 0 nop, 0 basic security, 0 loose source route
          0 timestamp, 0 extended security, 0 record route
          0 stream ID, 0 strict source route, 0 alert, 0 cipso, 0 ump
          0 other
   Frags: 406 reassembled, 0 timeouts, 0 couldn't reassemble
          1011 fragmented, 5065 fragments, 0 couldn't fragment
   Bcast: 0 received, 0 sent
   Mcast: 262 received, 413 sent
   Sent:  5639 generated, 286 forwarded
   Drop:  7 encapsulation failed, 0 unresolved, 0 no adjacency
          0 no route, 0 unicast RPF, 0 forced drop
          5 options denied
   Drop:  0 packets with source IP address zero
   Drop:  0 packets with internal loop back IP address
          0 physical broadcast

Otra forma de protegerse contra opciones IP es especificar dentro de una ACL qué opción vamos a permitir o denegar:

R2(config)# ip access-list ext options
R2(config-ext-nacl)# deny ip any any option record-route
R2(config-ext-nacl)#

La lista de opciones IP comunes que podemos manejar con una ACL es la primera lista de esta entrada.