Использование сопоставления с образцом для уменьшения IP-спуфинга
В настоящее время спуфинг IP становится серьезной проблемой. Мне было интересно, можем ли мы использовать сопоставление с образцом, например, сравнивать количество переходов приходящих пакетов или поле TTL(Time To Live) дейтаграммы IP, чтобы уменьшить спуфинг IP. есть ли способ для этого?
1 ответ
Не пытайтесь отличить IP-спуфинг от пакетов, которые вы получаете. Вы будете играть в проигрышную игру. Вместо этого сосредоточьтесь на следующем уровне вверх по стеку протоколов, где можно что-то сделать.
Протоколы более высокого уровня должны быть выполнены четырьмя вещами, чтобы быть устойчивыми к спуфингу.
- Если предотвращение спуфинга важно, отправьте клиенту непредсказуемое значение, которое клиент должен отправить обратно, чтобы подтвердить свой IP-адрес.
- Для любых пакетов, полученных с IP-адресов, которые еще не были подтверждены, никогда не отправляйте взамен большее количество пакетов, чем количество полученных вами пакетов. В идеале, никогда не отправляйте взамен большее количество байтов или, по крайней мере, только небольшой процент.
- Никогда не тратьте большое количество процессорного времени (или других ресурсов) на обработку пакетов с недоказанного IP.
- Никогда не храните информацию о пакетах с недоказанного IP.
TCP выполняет все вышеперечисленное (хотя последний пункт достигается только с помощью файлов cookie SYN). Это делает TCP очень устойчивым к IP-спуфингу.
Если вы используете протоколы по UDP, ответственность за обеспечение устойчивости к спуфингу лежит на прикладном уровне. Те же четыре принципа применяются в разработке протокола.