Tengo la impresión de que si todos los ISP tuvieran que filtrar en la dirección IP de origen de todos los paquetes salientes, la falsificación se reduciría considerablemente.
- ¿Hay algún ISP implementando esta práctica?
- ¿Deberían ellos?
Tengo la impresión de que si todos los ISP tuvieran que filtrar en la dirección IP de origen de todos los paquetes salientes, la falsificación se reduciría considerablemente.
Uno de los problemas principales es el cambio rápido en el nivel de enrutamiento del núcleo. Hace mucho tiempo, cuando era ingeniero de Cisco, los enrutadores de núcleo de Cisco podían cambiar rápidamente de manera muy efectiva y proporcionar una latencia mínima, pero si deseaba obtener un filtro de fuente, esto desactivaría la conmutación rápida y aumentaría enormemente la latencia. estar dispuestos a tener varios segundos de latencia cuando les gustan los números pequeños en la región de milisegundos.
Uno de los otros problemas puede ser alrededor de la encapsulación: por ejemplo, si está utilizando una red enrutada MPLS, no pudo ver dentro del paquete para realizar el filtrado de origen.
Espero que esto ayude.
Algunos ISP están comenzando a llegar a la conclusión de que prevenir la falsificación les ahorrará dinero a largo plazo. Ahora los encontramos empezando a agrupar la suplantación de identidad junto con el DDoS en términos de cosas que les costarán dinero a corto plazo, pero aligerarán su carga de red y podrán venderse como valor agregado a largo plazo.
La infraestructura y el equipo necesarios para configurar esto es donde se encuentra el costo principal. Debería haber un análisis sobre qué direcciones podrían ser necesarias para una falsificación válida (aunque esto podría ser un problema en la realidad) y el esfuerzo requerido para configurar y mantener cada enrutador (o al menos aquellos en el extremo) es bastante alto.
Potencialmente se convierte en un desafío (solo en términos de escala) con IPv6, ya que IPv4 también estará disponible por mucho tiempo.
Probablemente tenga más sentido para ellos que ignoren el anti-spoofing de IPv4, y comiencen a integrarlo en su despliegue de borde v6.
Respuesta básica: costo. Si lo hace, no hace nada para proteger su propia red, pero agrega un costo adicional en forma de gastos generales de mantenimiento y gastos generales de enrutamiento. Debido a que las direcciones falsificadas salientes no las afectarán realmente, existe
IP traceback es un nombre que se le da a cualquier método para determinar de manera confiable el origen de un paquete en Internet. Dado que la dirección IP de origen de un paquete no está autenticada. El problema de encontrar la fuente de un paquete se denomina problema de rastreo de IP. IP Traceback es una capacidad crítica para identificar fuentes de ataques e instituir medidas de protección para Internet. Hay varias de las técnicas más populares que se proponen son
Lea otras preguntas en las etiquetas network ip-spoofing