Perché gli ISP non filtrano sull'indirizzo di origine per impedire lo spoofing?

Uno dei problemi principali è rappresentato dal passaggio rapido al livello di routing principale. Molto tempo fa, quando ero un ingegnere di Cisco, i router Cisco Core potevano passare rapidamente in modo molto efficace e fornire una latenza minima, ma se si volesse creare un filtro sorgente, questo spegnerebbe la commutazione rapida e aumenterebbe enormemente la latenza - Nessun ISP sta andando essere disposti ad avere più secondi di latenza quando amano i piccoli numeri nella regione millisecondo.

Uno degli altri problemi può riguardare l'incapsulamento. Ad esempio, se si utilizzano reti instradate MPLS, non è stato possibile vedere all'interno del pacchetto per effettuare il filtraggio dell'origine.

Alcuni ISP stanno iniziando a giungere alla conclusione che prevenire lo spoofing farà risparmiare loro denaro a lungo termine. Li troviamo ora che iniziano a bloccare l'anti spoofing con anti DDoS in termini di cose che a loro costo costano denaro a breve termine, ma alleggeriranno il loro carico di rete e potranno essere venduti come valore aggiunto a lungo termine.

L'infrastruttura e il team necessari per configurare questo è il punto in cui si trova il costo principale. Ci dovrebbe essere un'analisi su quali indirizzi potrebbero essere richiesti per lo spoofing valido (anche se questo potrebbe essere molto meno un problema nella realtà) e lo sforzo richiesto per configurare e mantenere ogni router (o almeno quelli al limite) è carino alta.

Potenzialmente diventa più una sfida (solo in termini di dimensioni) con IPv6, dato che IPv4 sarà disponibile anche per molto tempo.

Probabilmente è più sensato per loro ignorare l'anti-spoofing di IPv4 e iniziare a crearlo nella loro implementazione di edge v6.

Risposta di base: costo. In questo modo non fa nulla per proteggere la propria rete, ma aggiunge costi aggiuntivi sotto forma di overhead di manutenzione e sovraccarico del routing. Poiché gli indirizzi spoofed in uscita non influiscono in alcun modo su di essi, c'è

Mi rendo conto che questa è una domanda molto vecchia, ma penso che ci siano alcune informazioni aggiuntive pertinenti da condividere. Hai ragione che lo spoofing IP è una grande fonte di problemi su Internet, soprattutto a causa degli attacchi DDoS che utilizzano UDP.

Gli ISP dovrebbero implementare l'anti-spoofing. Il BCP38 di IETF (scritto nel 2000!) Descrive una best practice per le reti che eseguono il filtraggio dei filtri di rete per ridurre lo spoofing e quindi prevenire DDoS atack, ma sfortunatamente (?) non esiste un'autorità globale che possa costringerli a farlo.

Come altri hanno sottolineato, i costi di implementazione potrebbero essere una ragione per non farlo. Le entrate più basse potrebbero essere un argomento anche per alcune reti: non inoltrare il traffico significa inviare fatture più basse ai clienti, quindi può essere una decisione commerciale non filtrare.

Tuttavia, negli ultimi anni un numero crescente di ISP si è impegnato a implementare i controlli descritti in MANRS ("Norme reciprocamente concordate per Routing Security "). Uno dei controlli menzionati è anti-spoofing . MANRS offre alle reti un'ampia guida per implementare -spoofing in vari modi in tutti i tipi di configurazioni con tutti i tipi di attrezzature.

Anche se lo spoofing offre ancora problemi, sempre più reti implementano i controlli perché si rendono conto che devono essere sicuri di non far parte del problema. Tuttavia, sono sicuro che ci sarà sempre un buon numero di reti che non seguiranno MANRS per vari motivi, e anche che c'è un piccolo numero di reti che non filtrano volentieri come modello di business (e quindi attirano di più e più abuso). L'unico modo per risolverlo sarà che tutte le reti di grandi dimensioni (livello 1) implementino un filtro rigoroso, in modo che diventi più difficile per queste reti dannose ottenere il routing del traffico spoof su Internet.

traceback IP è un nome assegnato a qualsiasi metodo per determinare in modo affidabile l'origine di un pacchetto su Internet. Poiché l'indirizzo IP di origine di un pacchetto non è autenticato. Il problema di trovare l'origine di un pacchetto è chiamato il problema di traceback IP. IP Traceback è una capacità critica per identificare le fonti di attacchi e istituire misure di protezione per Internet. Ci sono un certo numero di tecniche proposte più popolari sono

1. Marcatura a pacchetto probabilistica: marcatura probabilistica dei pacchetti mentre attraversano i router attraverso Internet. Il router contrassegna il pacchetto con l'indirizzo IP del router o con i bordi del percorso attraversato dal pacchetto per raggiungere il router.
2. Marcatura dei pacchetti deterministica: questa tecnica tenta di mettere un segno singolo sui pacchetti in entrata nel punto di ingresso della rete. La loro idea è di mettere, con probabilità casuale di 0,5, la metà superiore o inferiore dell'indirizzo IP dell'interfaccia di ingresso nel campo id frammento del pacchetto, e quindi impostare un bit di riserva che indica quale parte dell'indirizzo è contenuta in il campo dei frammenti. Utilizzando questo approccio, affermano di essere in grado di ottenere 0 falsi positivi con una probabilità di 0,99 dopo soli 7 pacchetti.