“Тривиальны IP-адреса для ковки”?

Я могу не забыть делать программирование сокетов в конце 90-х с тем, что было, вероятно, Visual Basic, и мы могли установить исходный IP на нашем соединении. Я помню неопределенно что, когда мы попробовали его, netstat - показывание фактического исходного IP, но журналы Apache показали имитировавший IP; и я думаю, что Apache вручал имитировавший IP модулям жемчуга и так далее также.

Как другие указали, UDP довольно тривиален для ковки, TCP не так.

Предпочтительная защита, но к сожалению не универсально развернутая, является выходными фильтрами.

Для ISPs, выполняющего DSL и т.д. сервисы, каждая виртуальная строка должна быть настроена с ip verify unicast reverse-path (или независимо от того, что эквивалентная не-Cisco), какие блоки любой пакет, исходный IP-адрес которого не находится в диапазонах, которые, как известно, были направлены вниз та строка.

Если так, какое смягчение возможно?

Не очень можно сделать на стороне получения.

ISP подделывателя должен фильтровать их исходящий трафик так, чтобы его клиенты не могли имитировать дюйм/с из различных сетей.

Это - только несколько строк в конфигурации маршрутизатора, таким образом, нет хорошего оправдания за то, что не был сделан он.

Существует способ отследить взломщика, но он требует coperation Ваших восходящих поставщиков: http://www.cymru.com/Documents/dos-and-vip.html

Как упомянуто выше, использование проксирует, тривиально, и существует очень большое количество открытых анонимных доступных прокси.

Даже не используя прокси, я могу установить MAC-адрес на своем брандмауэре к любому новому произвольному значению, сбросить мой кабельный модем, и мой ISP присвоит мне совершенно новый солнечный IP-адрес.

И это только для начинающих. Существуют много много других способов обойти запреты IP.

UDP является основной частью того, почему это легко - на самом деле, Skype и Slingbox используют способность создать IP-адреса легко в UDP к 'перфорации' через NAT и допускать легкую одноранговую сеть.

TCP более тверд, так как он требует полного цикла SYN/ACK, но Вы могли все еще лавинно разослать сервер с зависанием пакетов SYN, которые переходят ко много-транзитным участкам IP-адресов далеко и по существу связывают огромное количество маршрутизаторов в процессе.

Я могу установить любой исходный IP-адрес, который я хочу в датаграмме.
Освободил ли мой ISP такой пакет в дикую местность, другой вопрос.

В то время как это - конечно, действительность, с которой нужно иметь дело, базовая проблема является действительно нетехнической: Люди со злонамеренным намерением пытаться сделать злонамеренные вещи. Действительное решение поэтому должно быть нетехническим также.

Я думаю, что сделал Stackoverflow, ТОЧНО правильное решение для обработки второго оборонительного рубежа: методы для ограничения потенциальных пользователей спама через различные способы ограничить их способности взаимодействовать с платформой до достижения некоторого уровня 'доверия'.

Мало того, что эти методы помогают улучшить общее качество сайта, они на самом деле стимулируют пользователей, чтобы больше принять участие и обеспечить более вероятный / надежные ответы.

С технической точки зрения лучшая вещь сделать затем состояла бы в том, чтобы сделать, как Google предполагает: просто будьте эффективны в поглощении / контакт с дополнительной загрузкой.

Отличная работа и продолжает улучшаться!

IP-адреса тривиальны для ковки, что касается основанных на DNS (D) DoS-атак, поскольку они обычно - случай пакетов UDP "выпустил-забыл". Для Трафика HTTP это не имеет место, таким образом, Вам было бы нужно любому быть в той же локальной сети как веб-сервер (совершенно возможный, конечно, в зависимости от того, где Ваш сайт размещается), или управляйте промежуточными маршрутизаторами.

IP-спуфинг продолжится, потому что ISPs ленивы.

Мой ISP чертовски знает, что я нахожусь на определенном адресе или по крайней мере подсети, я иду. Все же я могу использовать любой исходный адрес. Почему это? Просто, стоимость.

Если я фальсифицирую несколько адресов тут и там, это ничего не стоит моему ISP. Если бы каждый пользователь моего ISP фальсифицировал один пакет между 1:00 и 2:00, то это все еще была бы едва вспышка на радаре. Однако, когда ботнет отправляет много имитировавших пакетов от многих хостов на многих ISPs, целевая машина или сеть падают.

Финансовая действительность - это, если Вы не тот, на которого нападают, имитируя затраты ничто. Это стоит денег для реализации фильтрации около клиента, и тот, тратящий деньги, понимает очень мало возврата кроме знания, что они - хорошие сетевые граждане.

UDP и ICMP является самым легким фальсифицировать, но TCP также возможен. Это требует небезопасной удаленной ОС, которая использует предсказуемые порядковые номера для использования. Иногда это - машины выравнивания нагрузки, которые изменяют порядковые номера и делают их предсказуемыми. Так, TCP возможен - но тяжелее.

Антиспуфинг DNS фокусируется главным образом на стороне безопасности препятствования тому, чтобы кто-то отправил недобросовестное возражение рекурсивному сопоставителю. Аспектами лавинной рассылки UDP не является DNS, конкретный кроме единственного небольшого запроса (скажите, для'.'), вызовет довольно большой ответ. Таким образом это делает хороший вектор усиления. Существует много других протоколов UDP там, что работа, но DNS используется везде, и легко найти, что машины используют для усиления нападений.

DNSSEC делает это еще хуже с пакетами UDP, которые могут достигнуть 4k в размере.

Статья GOOG явно обсуждала DNS. DNS использует и UDP и пакеты TCP. UDP могут быть подделаны, но не TCP. TCP требует 3 путей квитирование. Если IP-адрес для пакета TCP будет создан затем, то компьютер ковки не получит ответ, и связь прервется. UDP, как упомянуто в других ответах, является 'огнем, и забудьте', и не требует никакой коммуникации ответа. DoS-атаки происходят почти исключительно в форме пакетов UDP поэтому.

В контексте Переполнения стека и сайтов семейства, вопрос, поднятый Японской редькой Takaun, очень допустим. Существует много способов получить новый IP-адрес от ISP. Изменение MAC-адреса является ясно самым легким и работает на многие ISPs. Кроме того, многие люди, которые являются до глупости, могут использовать общедоступный прокси или TOR. Очевидно блокирование IP происхождения для тех пакетов просто заблокировало бы прокси или узел завершения TOR.

Так действительно ли блокирование IP-адресов допустимо? Ад да это. Но Вы закончите с ошибками. Вы заблокируете некоторого дюйм/с, которые действительно не являются источником проблемы (т.е. прокси), и у Вас также будут люди, избегающие Ваших блоков путем изменения дюйм/с. Человек, который является достаточно невезучим для получения запрещенного IP позже, не сможет получить доступ ТАК семейство сайтов. Но коэффициент ошибок должен быть небольшим. Если Вы не блокируете огромные наборы дюйм/с. Но если Вы блокируетесь один или два в день, необходимо быть в порядке.

Можно хотеть представить немного более сложную схему, где Вы блокируетесь, но только в течение периода, как год. Если Ваша сеть способна к ограничению регулировки или соединения пропускной способности, Вы могли бы также рассмотреть схему, где придурки, которые выполняют Сравнительные тесты Apache на Вашем сайте просто, вставляются в клетку с очень ограниченной пропускной способностью.

IP-адреса легко создать для однонаправленного трафика UDP. Для пакетов TCP можно только подделать для получения полуоткрытых соединений TCP с пакетами SYN. Это - основание своего рода DoS-атаки также. Но Вы не можете подделать HTTP-соединение с имитировавшим адресом (например, при фильтрации сессий для использования того же IP-адреса). В то время как да, можно имитировать IP-адрес в пакетах, это только полезно для определенных видов атак "отказ в обслуживании".

Мало Подтверждения концепции Ответа Zordeche (с человечностью):

$ sudo apt-get install hping3
$ sudo hping3 -1 --spoof 11.10.10.20 www.google.com
HPING www.google.com (eth0 64.233.169.105): icmp mode set, 28 headers + 0 data bytes

Затем в другой консоли:

$ sudo tcpdump -i eth0 'icmp'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
13:30:19.439737 IP 11.10.10.20 > yo-in-f105.1e100.net: ICMP echo request, id 31297, seq 0, length 8

Таким образом да, тривиальный, но затем Вы не получаете ответы, как ранее упомянуто, если Вы не имеете доступ к 11.10.10.20 или имеете сниффера где-нибудь между www.google.com и 11.10.10.20 (И это должно было бы быть правильно перед любым концом, так как Вы не можете предсказать маршрут пакетов). Кроме того, шлюз spoofer (ISP) не мог бы позволить тому пакету снаружи, если они имеют своего рода IP инспекционное продолжение и видят, что источник плохо пахнет.

Можно отправить букву любому, и если Вы не помещаете обратный адрес на конверт (или помещаете неправильный), они могут нанять весь спам filterers в мире и не фильтровать Ваше сообщение, не открываясь (обработка) его.

Однако, если бы отправитель хочет ответ, обратный адрес лучше быть корректным, или должен был бы быть механизм прикладного уровня для получения корректного адреса. Таким образом, я могу заставить Вас думать, что Вы открываете букву от Nana, но даже если я дурачу Вас с содержанием буквы, Вы не собираетесь посылать Nana чек, разобранный к НАЛИЧНЫМ ДЕНЬГАМ к некоторому адресу в Нигерии (если Nana не нигериец). Таким образом, проблема/ответ является эффективной защитой, пока Вы также не Человек в Middled.

Для взломщика действительно настолько легко создавать IP-адрес в дикой природе?

Несомненно, если я не забочусь о фактическом получении никаких ответов, я могу очень легко отослать пакеты с помощью любого исходного адреса, который я люблю. Так как много ISPs действительно не имеют хороших выходных правил, ничто, что я подделываю, обычно будет поставляться.

Если взломщику на самом деле нужна двусторонняя связь, это становится очень трудным. Если им нужна двусторонняя связь, она имеет тенденцию быть легче просто использовать какой-то прокси. Который очень легко настроить, если Вы знаете то, что Вы делаете.

Запрет людей IP-адресом является умеренно эффективным на SF/таким образом/SU, так как сайт использует http/https, который требует двусторонней связи.