Использование сопоставления с образцом для уменьшения IP-спуфинга

В настоящее время спуфинг IP становится серьезной проблемой. Мне было интересно, можем ли мы использовать сопоставление с образцом, например, сравнивать количество переходов приходящих пакетов или поле TTL(Time To Live) дейтаграммы IP, чтобы уменьшить спуфинг IP. есть ли способ для этого?

1 ответ

Не пытайтесь отличить IP-спуфинг от пакетов, которые вы получаете. Вы будете играть в проигрышную игру. Вместо этого сосредоточьтесь на следующем уровне вверх по стеку протоколов, где можно что-то сделать.

Протоколы более высокого уровня должны быть выполнены четырьмя вещами, чтобы быть устойчивыми к спуфингу.

  • Если предотвращение спуфинга важно, отправьте клиенту непредсказуемое значение, которое клиент должен отправить обратно, чтобы подтвердить свой IP-адрес.
  • Для любых пакетов, полученных с IP-адресов, которые еще не были подтверждены, никогда не отправляйте взамен большее количество пакетов, чем количество полученных вами пакетов. В идеале, никогда не отправляйте взамен большее количество байтов или, по крайней мере, только небольшой процент.
  • Никогда не тратьте большое количество процессорного времени (или других ресурсов) на обработку пакетов с недоказанного IP.
  • Никогда не храните информацию о пакетах с недоказанного IP.

TCP выполняет все вышеперечисленное (хотя последний пункт достигается только с помощью файлов cookie SYN). Это делает TCP очень устойчивым к IP-спуфингу.

Если вы используете протоколы по UDP, ответственность за обеспечение устойчивости к спуфингу лежит на прикладном уровне. Те же четыре принципа применяются в разработке протокола.

Другие вопросы по тегам