¿Por qué los ISP no filtran en la dirección de origen para evitar la falsificación?

15

Tengo la impresión de que si todos los ISP tuvieran que filtrar en la dirección IP de origen de todos los paquetes salientes, la falsificación se reduciría considerablemente.

  • ¿Hay algún ISP implementando esta práctica?
  • ¿Deberían ellos?
pregunta random65537 09.12.2010 - 16:14
fuente

4 respuestas

8

Uno de los problemas principales es el cambio rápido en el nivel de enrutamiento del núcleo. Hace mucho tiempo, cuando era ingeniero de Cisco, los enrutadores de núcleo de Cisco podían cambiar rápidamente de manera muy efectiva y proporcionar una latencia mínima, pero si deseaba obtener un filtro de fuente, esto desactivaría la conmutación rápida y aumentaría enormemente la latencia. estar dispuestos a tener varios segundos de latencia cuando les gustan los números pequeños en la región de milisegundos.

Uno de los otros problemas puede ser alrededor de la encapsulación: por ejemplo, si está utilizando una red enrutada MPLS, no pudo ver dentro del paquete para realizar el filtrado de origen.

Espero que esto ayude.

    
respondido por el David Stubley 10.12.2010 - 11:13
fuente
5

Algunos ISP están comenzando a llegar a la conclusión de que prevenir la falsificación les ahorrará dinero a largo plazo. Ahora los encontramos empezando a agrupar la suplantación de identidad junto con el DDoS en términos de cosas que les costarán dinero a corto plazo, pero aligerarán su carga de red y podrán venderse como valor agregado a largo plazo.

La infraestructura y el equipo necesarios para configurar esto es donde se encuentra el costo principal. Debería haber un análisis sobre qué direcciones podrían ser necesarias para una falsificación válida (aunque esto podría ser un problema en la realidad) y el esfuerzo requerido para configurar y mantener cada enrutador (o al menos aquellos en el extremo) es bastante alto.

Potencialmente se convierte en un desafío (solo en términos de escala) con IPv6, ya que IPv4 también estará disponible por mucho tiempo.

Probablemente tenga más sentido para ellos que ignoren el anti-spoofing de IPv4, y comiencen a integrarlo en su despliegue de borde v6.

    
respondido por el Rory Alsop 10.12.2010 - 09:56
fuente
3

Respuesta básica: costo. Si lo hace, no hace nada para proteger su propia red, pero agrega un costo adicional en forma de gastos generales de mantenimiento y gastos generales de enrutamiento. Debido a que las direcciones falsificadas salientes no las afectarán realmente, existe

    
respondido por el Ryaner 09.12.2010 - 19:55
fuente
2

IP traceback es un nombre que se le da a cualquier método para determinar de manera confiable el origen de un paquete en Internet. Dado que la dirección IP de origen de un paquete no está autenticada. El problema de encontrar la fuente de un paquete se denomina problema de rastreo de IP. IP Traceback es una capacidad crítica para identificar fuentes de ataques e instituir medidas de protección para Internet. Hay varias de las técnicas más populares que se proponen son

  1. Marcación probabilística de paquetes: marca probabilísticamente los paquetes a medida que atraviesan los enrutadores a través de Internet. El enrutador marca el paquete con la dirección IP del enrutador o los bordes de la ruta que el paquete atravesó para llegar al enrutador.
  2. Marca determinista de paquetes: esta técnica intenta colocar una marca única en los paquetes entrantes en el punto de ingreso de la red. Su idea es colocar, con una probabilidad aleatoria de .5, la mitad superior o inferior de la dirección IP de la interfaz de ingreso en el campo de identificación de fragmento del paquete, y luego establecer un bit de reserva que indique qué parte de la dirección está contenida en El campo del fragmento. Al utilizar este enfoque, afirman poder obtener 0 falsos positivos con una probabilidad de .99 después de solo 7 paquetes.
respondido por el Ali Ahmad 27.08.2012 - 10:02
fuente

Lea otras preguntas en las etiquetas