BCP38 es un estándar de seguridad de red que tiene el alcance para evitar la falsificación de la fuente de los ataques DDOS. La idea principal es que el ISP no debe reenviar el tráfico que no proviene de su rango de red.
Mi pregunta es: ¿es suficiente para evitar ataques masivos de DDOS?
Hay varios tipos (o métodos para lograr) de ataques tipo DDoS -
Algunos tipos de ataques son posibles mediante la suplantación de direcciones IP de origen (como la amplificación de DNS, la inundación de Syn, la inundación de ICMP y otras). Los ataques que se pueden lograr a través del protocolo UDP se pueden hacer a través de la simulación, mientras que para aquellos en los que se debe completar el protocolo de enlace de tres vías TCP, no se puede lograr a través de la falsificación.
Mi pregunta es: ¿es suficiente para evitar ataques masivos de DDOS?
BCP 38 solo puede detener los ataques de suplantación de identidad. No puede proteger a la víctima contra ataques basados en TCP. El ataque DDoS en Dyn (el 21 de octubre) se realizó a través de dispositivos IoT, que no fue un ataque de tipo falso.
En pocas palabras, si BCP38 se implementa en todo el ISP en todo el mundo, el ataque DDoS no será fácil de lanzar contra las víctimas.
P.S. - BCP38 está implementado en mi organización (trabajo para uno de los ISP más grandes de mi país).
Hay tipos de ataques DDOS que no utilizan la falsificación de fuentes y, por lo tanto, BCP38 no ayuda. Por ejemplo, el actual DDOS basado en IoT ataques contra Dyn , OVH , etc. no usaron la fuente spoofing en absoluto. Además, DDOS al emplear el Slashdot Effect tampoco hace uso de direcciones falsificadas.
Las direcciones falsificadas se utilizan principalmente en ataques de amplificación , que es solo una de las técnicas para DDOS.
Lea otras preguntas en las etiquetas attack-prevention ip-spoofing ddos