Direcciones IPv4 e IPv6 falsificadas en Internet

8

Tengo algunas preguntas con respecto a IPv4 y IPv6 spoofing. También podría enumerarlos para ser concisos:

  1. ¿Cuál es la política de enrutamiento habitual para los enrutadores de los ISP con respecto a las direcciones de origen falsificadas? es decir, si el enrutador de un ISP gestiona el bloque 123.123.123.xxx / 24 y una máquina le envía un paquete que dice ser de 99.99.99.99, ¿sigue enrutando el paquete?
  2. Normalmente, los paquetes dentro de una subred se traducen a una IP externa cuando pasan a través de un enrutador NAT. ¿Hay algún método que alguien pueda usar para falsificar la dirección de origen del lado de Internet al enviar un paquete a través de dicho enrutador?
  3. ¿IPv6 ofrece algún mecanismo o cambio que mitigue (o quizás cree) tales problemas?
pregunta Polynomial 12.10.2011 - 15:19
fuente

2 respuestas

10

1) No parece haber una política habitual. Muchos ISP ahora descargan paquetes con direcciones falsificadas, pero todavía hay cargas que no lo hacen.

2) Al NAT, un enrutador configurado correctamente tendrá una pequeña lista de reglas que definen la dirección IP que se adjuntará, por lo que el ataque habitual es enviar desde una ubicación donde esto no ocurra.

3) Una de las razones de NAT'ing es permitirte tener múltiples direcciones IP detrás de las que tienes en Internet. Con IPv6 esto puede ser un problema mucho menor, por lo que NAT'ing puede terminar siendo usado menos o nada. Podría pensar que esto podría cambiar la forma en que se implementaría la protección contra las direcciones falsificadas, pero no debería hacerlo. Seguirá implementando reglas que dicen que un enrutador con una red A en un lado, cualquier paquete con una dirección de origen que coincida con A una interfaz diferente se debe quitar como una falsificación.

    
respondido por el Rory Alsop 12.10.2011 - 15:31
fuente
2

Existe un RFC IETF específico que aborda los prefijos de fuente BGP falsificados que se anuncian en una red. Para un ISP, el valor predeterminado es confiar en el otro ISP y depende de sus colegas hacer cumplir esto rigurosamente y otros no.

enlace

    
respondido por el Ansel Gaddy 05.05.2015 - 00:14
fuente

Lea otras preguntas en las etiquetas