Formas prácticas para prevenir los ataques de denegación de servicio

La suplantación de IP está forjando un nuevo datagrama de IP que se hace pasar por una máquina diferente a la suya. Esto se hace modificando el encabezado de IP, reemplazando la dirección de origen (la suya propia) por una falsificada. Esto es exitoso porque IP es un protocolo sin estado y (además) no proporciona ningún tipo de integridad por sí solo.

Cualquier tipo de control de integridad lo evitaría, como TCP-AO o IPsec-AH.

TCP-AO (opción de autenticación TCP) proporciona un MAC calculado sobre el paquete TCP y algunas secciones del encabezado IP (como las direcciones). Un algoritmo MAC proporciona autenticación de mensajes, lo que significa que podemos detectar si estos campos se han modificado en tránsito.

IPsec-AH calcula un MAC en todo el encabezado de IP y en la carga de IP. Este MAC nos permite detectar si todo el datagrama IP se ha modificado en tránsito.

Las cookies SYN no tienen nada que ver con el IP Spoofing. Las cookies SYN se utilizan para prevenir ataques de DOS. La detonación de puertos está realmente enfocada en evitar que se escaneen los puertos de su máquina.     

Hay dos formas de defenderse contra IP spoofing en el caso general (es decir, si necesita ser compatible con toda la infraestructura y los protocolos existentes):

1) Filtrado de ingreso : bloquee todos los paquetes que ingresan a su red desde Internet que tienen una dirección de origen o destino que no es válida (rangos de direcciones privadas, rangos reservados o una dirección de origen que pertenece a su red).

2) Filtrado de egreso : bloquee todos los paquetes que salen de su red a Internet que tienen direcciones de origen o destino privadas o reservadas, además de cualquier paquete que tenga una dirección de origen diferente a la que pertenece a su red . Esto no protege su red; más bien, actúa para proteger el resto de Internet de los ataques de falsificación de IP provenientes de su red.