¿Es posible detectar un ataque de falsificación / reflexión de IP a través de NetFlow?
Gracias :)
La IP se falsificaría antes de que NetFlow pudiera analizarla, por lo que no. Consulte aquí ( enlace ) para obtener información de NetFlow y aquí ( enlace ) para la amplificación de DNS. El ataque debe configurarse de manera tal que se produzca una suplantación de IP antes del enrutador, que es donde está instalado NetFlow. Sabemos que esto funciona porque MiTM funciona. La IP se falsificaría antes de que NetFlow pudiera analizarla, por lo que todo parecería válido.
Lea otras preguntas en las etiquetas spoofing ip cisco reflection