¿Cuáles son los usos válidos? ¿Por qué los ISP no evitan esto por defecto? ¿Alguno de los principales ISP ya lo hace?
Hay una propuesta conocida como BCP38 que ha existido por un tiempo ( enlace ) que se basa en RFC 2827 ( enlace )
El RFC propone que los ISP bloqueen el tráfico que ingresa a su red con las IP de origen que no están registradas para provenir de los dispositivos que pasan el tráfico. Hay muchos detalles para esto, pero en resumen, existe un protocolo conocido como Border Gateway Protocol (BGP), que tiene enrutadores en el borde de una red de ISP, cuyos rangos de IP pueden enrutar el tráfico. Cuando un ISP conecta su red a otro ISP (conocido como peering) ellos comparten esta información de enrutamiento. Debido a que esta información es conocida y compartida, es fácil detectar cuándo el tráfico contiene direcciones IP falsificadas porque la red conectada no anuncia que enruta el tráfico para esas direcciones IP, por lo que puede ser bloqueada.
El problema es que los ISP generalmente no implementan esto porque (afirman) les cuesta demasiado en recursos para realizar el análisis adicional de los paquetes para determinar si está falsificado. Es por eso que todavía es posible falsificar IPs. Creo que hay algunos ISP que sí implementan, pero no todos lo hacen.
Incluso si los ISP lo implementaron, aún puede falsificar las IP siempre que se encuentren en los rangos de IP adecuados para los cuales el ISP difunde. Si bien es más limitado, ese rango aún puede ser bastante grande.
Además de la respuesta técnica que ha proporcionado Michael, proporcionaría una respuesta económica.
En resumen, el filtro de egreso es lo que los economistas denominan " externalidad negativa ". En resumen, una externalidad negativa es donde el costo va a una entidad diferente a la ganancia. En este caso, el costo es para los ISP y les proporciona poco o nada a cambio. El beneficio pasa a Internet en general, y solo ocurre cuando casi todos los ISP del mundo lo hacen.
Vale la pena mencionar nuevamente que el beneficio solo se obtendría si una gran parte de los ISP implementara esto. La naturaleza global de internet hace que esto sea muy poco probable. Si la implementación no es casi universal, los atacantes solo necesitan encontrar un ISP que no realice el filtrado de egreso.
Lea otras preguntas en las etiquetas network ip-spoofing ddos