根据我的理解,基于源的 RTBH ( http://packetlife.net/blog/2010/aug/23/source-based-rtbh/ ) 的工作原理是仅当 IP 地址的路由条目存在时,它将允许数据包通过。
我的理解是,如果我发起到 123.123.123.123(在互联网上)的连接,那么响应将被允许进入,因为 FIB 将看到请求实际上是从我的一端发起的(希望这是一个正确的理解) .
我的问题是,在任何给定的时间......总会有人在谷歌或维基百科上。那么如何才能防止有人欺骗他们的 IP 并使用 Google 或 Wikipedia 等大型组织的 IP 进行攻击。
如果我的理解是正确的,如果我发起与谷歌的连接,那么响应将被允许(因为 FIB 会看到我提供了它),但它怎么知道是有人冒充谷歌重新进入。
我认为你们都误解了 RTBH 的工作原理及其设计目的。
我的理解是,如果我发起到 123.123.123.123(在互联网上)的连接,那么响应将被允许进入,因为 FIB 将看到请求实际上是从我的一端发起的(希望这是一个正确的理解) .
恐怕这不是 S/RTBH 的工作方式。路由器不知道是谁发起了连接;路由器通常不维护连接状态(防火墙会这样做)。路由器单独处理每个数据包,因此对单个数据包的路由决策是在不考虑之前发生的情况的情况下做出的。
S/RTBH 之所以有效,是因为您实际上是在欺骗路由:您告诉边界路由器攻击者的 IP 位于您的网络内,而不是在 Internet 上。当路由器从外部接口接收到坏包时,RPF 检查失败并丢弃该数据包,因为路由器认为 IP 在内部。
S/RTBH 无法防范欺骗性数据包。它只能防止已知的不良源 IP。从这个意义上说,它的工作方式类似于访问列表,但效率更高。