Modi pratici per prevenire attacchi di tipo Denial Of Service

Lo spoofing IP sta forgiando un nuovo datagramma IP che impersona una macchina diversa dalla tua. Questo viene fatto modificando l'intestazione IP, sostituendo l'indirizzo di origine (il proprio) con uno forgiato. Questo è successo perché IP è un protocollo stateless e (in aggiunta) non fornisce alcun tipo di integrità da solo.

Qualsiasi tipo di controllo di integrità lo impedirebbe come TCP-AO o IPsec-AH.

TCP-AO (opzione di autenticazione TCP) fornisce un MAC calcolato sul pacchetto TCP e alcune sezioni dell'intestazione IP (come gli indirizzi). Un algoritmo MAC fornisce l'autenticazione dei messaggi, il che significa che possiamo rilevare se questi campi sono stati modificati durante il transito.

IPsec-AH calcola un MAC sull'intera intestazione IP e sul payload IP. Questo MAC ci consente di rilevare se l'intero datagramma IP è stato modificato durante il transito.

I cookie SYN non hanno nulla a che fare con IP Spoofing. I cookie SYN sono usati per prevenire gli attacchi DOS. Port knocking è davvero incentrato sull'evitare che le porte della tua macchina vengano scansionate.

Ci sono due modi per difenderci contro IP spoofing nel caso generale (cioè se devi essere compatibile con tutte le infrastrutture e i protocolli esistenti):

1) Filtro di ingresso - Blocca tutti i pacchetti che entrano nella tua rete da Internet che hanno un indirizzo di origine o di destinazione non valido (intervalli di indirizzi privati, intervalli riservati o un indirizzo di origine che appartiene al tuo rete).

2) Filtro Egress - Blocca tutti i pacchetti che escono dalla rete su Internet che hanno indirizzi di origine o destinazione riservati o privati, oltre a tutti i pacchetti che hanno un indirizzo di origine diverso da quello che appartiene alla tua rete . Questo non protegge la tua rete; piuttosto, agisce per proteggere il resto di Internet dagli attacchi di spoofing IP provenienti dalla tua rete.