Như nhiều người khác đã nêu, các tiêu đề IP rất nhỏ để giả mạo, miễn là người ta không quan tâm đến việc nhận được phản hồi. Đây là lý do tại sao nó chủ yếu được nhìn thấy với UDP, vì TCP yêu cầu bắt tay 3 bước. Một ngoại lệ đáng chú ý là lũ SYN , sử dụng TCP và cố gắng liên kết tài nguyên trên máy chủ nhận; một lần nữa, khi các câu trả lời bị loại bỏ, địa chỉ nguồn không quan trọng.
Một tác dụng phụ đặc biệt khó chịu về khả năng kẻ tấn công giả mạo địa chỉ nguồn là một cuộc tấn công tán xạ ngược . Có một mô tả xuất sắc ở đây , nhưng ngắn gọn, đó là nghịch đảo của một cuộc tấn công DDoS truyền thống:
- Giành quyền kiểm soát một mạng botnet.
- Định cấu hình tất cả các nút của bạn để sử dụng cùng một địa chỉ IP nguồn cho các gói độc hại. Địa chỉ IP này sẽ là nạn nhân cuối cùng của bạn.
- Gửi các gói từ tất cả các nút được kiểm soát của bạn đến các địa chỉ khác nhau trên internet, nhắm mục tiêu các cổng thường không mở hoặc kết nối với các cổng hợp lệ (TCP / 80) tự nhận là một phần của giao dịch đã tồn tại.
Trong một trong các trường hợp được đề cập trong (3), nhiều máy chủ sẽ phản hồi với ICMP không thể truy cập được hoặc thiết lập lại TCP, nhắm vào địa chỉ nguồn của gói độc hại . Kẻ tấn công hiện có khả năng hàng ngàn máy móc không thỏa hiệp trên mạng thực hiện một cuộc tấn công DDoS vào nạn nhân được chọn của mình, tất cả thông qua việc sử dụng địa chỉ IP nguồn giả mạo.
Về mặt giảm thiểu, rủi ro này thực sự là một rủi ro mà chỉ các ISP (và đặc biệt là các ISP cung cấp quyền truy cập của khách hàng, thay vì quá cảnh) mới có thể giải quyết. Có hai phương pháp chính để làm điều này:
Lọc xâm nhập - đảm bảo các gói đến mạng của bạn có nguồn gốc từ các dải địa chỉ nằm ở phía xa của giao diện đến. Nhiều nhà cung cấp bộ định tuyến triển khai các tính năng như chuyển tiếp đường dẫn ngược unicast , sử dụng bảng định tuyến và chuyển tiếp của bộ định tuyến để xác minh rằng bước nhảy tiếp theo của địa chỉ nguồn của gói đến là giao diện đến. Điều này được thực hiện tốt nhất ở lớp 3 hop đầu tiên trong mạng (tức là cổng mặc định của bạn.)
Lọc ra - đảm bảo rằng các gói rời khỏi mạng của bạn chỉ có nguồn từ phạm vi địa chỉ mà bạn sở hữu. Đây là phần bổ sung tự nhiên cho quá trình lọc xâm nhập và về cơ bản là một phần của 'hàng xóm tốt'; đảm bảo rằng ngay cả khi mạng của bạn bị xâm phạm bởi lưu lượng độc hại, lưu lượng đó sẽ không được chuyển tiếp đến các mạng mà bạn ngang hàng.
Cả hai kỹ thuật này đều hiệu quả nhất và dễ dàng thực hiện khi được thực hiện trong các mạng 'cạnh' hoặc 'truy cập', nơi giao diện máy khách với nhà cung cấp. Việc thực hiện lọc vào / ra phía trên lớp truy cập trở nên khó khăn hơn, do sự phức tạp của nhiều đường dẫn và định tuyến không đối xứng.
Tôi đã thấy các kỹ thuật này (đặc biệt là lọc xâm nhập) được sử dụng để có hiệu quả lớn trong mạng doanh nghiệp. Có lẽ ai đó có nhiều kinh nghiệm cung cấp dịch vụ hơn có thể cung cấp cái nhìn sâu sắc hơn về những thách thức của việc triển khai lọc / xâm nhập trên internet trên diện rộng. Tôi tưởng tượng hỗ trợ phần cứng / phần sụn là một thách thức lớn, cũng như không thể buộc các nhà cung cấp thượng nguồn ở các quốc gia khác thực hiện các chính sách tương tự ...