Sí, cuando se usa ESP, la dirección IP de origen puede ser modificada por un atacante. Pero a menos que esto resulte en un ataque de amplificación, realmente no veo el punto de hacerlo. Sin embargo, un atacante que está en posición de modificar las direcciones IP también puede simplemente dejar caer el tráfico o leerlo pasivamente (si no está cifrado), no podrá falsificar nuevos paquetes, sin importar qué protocolo se use.
Si bien los dos protocolos se pueden combinar (por ejemplo, usar ESP solo para confidencialidad y AH para integridad), la funcionalidad de integridad provista por ESP proporciona aproximadamente la misma seguridad con menos sobrecarga (especialmente cuando se usan algoritmos AEAD), RFC 4302 (AH):
ESP se puede usar para proporcionar el mismo anti-reproducción y similar
servicios de integridad, y también proporciona una confidencialidad
Servicio (cifrado). La principal diferencia entre la integridad.
proporcionado por ESP y AH es el alcance de la cobertura. Específicamente,
ESP no protege ningún campo de encabezado IP a menos que esos campos estén
encapsulado por ESP (por ejemplo, mediante el uso del modo túnel).
Por lo tanto, si la protección de partes del encabezado IP externo (y los encabezados de extensión) no es un requisito, ESP básicamente proporciona la misma funcionalidad que AH. ESP se puede usar incluso sin confidencialidad, RFC 4303 (ESP):
El ESP de solo integridad es una alternativa atractiva a AH en muchos
contextos, por ejemplo, porque es más rápido de procesar y más susceptible a
pipeline en muchas implementaciones.