主要问题之一是核心路由级别的快速切换。很久以前，当我还是一名 Cisco 工程师时，cisco 核心路由器可以非常有效地快速切换并提供最小的延迟，但如果你想要源过滤器，那么这将关闭快速切换并大大增加延迟 - 没有 ISP 会当他们喜欢毫秒区域中的小数字时，愿意有几秒钟的延迟。

其他问题之一可能与封装有关。例如，如果您使用的是 MPLS 路由网络，那么您将无法看到数据包的内部来进行源过滤。

一些 ISP 开始得出结论，从长远来看，防止欺骗将为他们节省资金。我们发现他们现在开始将反欺骗与反 DDoS 混为一谈，这些东西在短期内会让他们花钱，但会减轻他们的网络负载，并能够在长期内作为增值出售。

配置它所需的基础设施和团队是主要成本所在。必须分析有效欺骗可能需要哪些地址（尽管这在现实中可能不是什么问题），并且配置和维护每个路由器（或至少是边缘路由器）所需的工作量相当大高的。

IPv6 可能会成为更大的挑战（仅就规模而言），因为 IPv4 也将存在很长时间。

对于他们来说，忽略 IPv4 反欺骗并开始将其构建到他们的 v6 边缘部署中可能更有意义。

我意识到这是一个非常古老的问题，但我认为有一些相关的附加信息可以分享。您说得对，IP 欺骗是互联网上问题的一大来源，主要是因为使用 UDP 的 DDoS 攻击。

ISP 应该实施反欺骗。IETF 的BCP38（写于 2000 年！）描述了网络进行网络过滤以减少欺骗从而防止 DDoS 攻击的最佳实践，但不幸的是（？）没有全球权威可以强迫他们这样做。

正如其他人指出的那样，实施它的成本可能是不这样做的一个理由。对于某些网络来说，较低的收入也可能是一个论据：不转发流量意味着向客户发送较低的账单，因此不进行过滤可能是一个商业决策。

然而，在过去的几年中，越来越多的 ISP 承诺实施MANRS（“路由安全共同商定的规范”）中描述的控制。其中提到的控件之一是anti-spoofing。MANRS 为网络提供了广泛的指南，以各种方式在各种设备的各种设置中实施反欺骗。

尽管欺骗仍然存在问题，但越来越多的网络实施了控制，因为他们确实意识到他们需要确保他们不是问题的一部分。但是，我确信总会有相当数量的网络出于各种原因不遵循 MANRS，并且也有少数网络愿意不作为一种商业模式进行过滤（从而吸引更多和更多的滥用）。解决这个问题的唯一方法是对所有大型（第 1 层）网络实施严格的过滤，这样这些恶意网络就更难将其欺骗性流量通过互联网路由。

基本答案：成本。这样做并不能保护他们自己的网络，但会以维护开销和路由开销的形式增加额外的成本。因为欺骗地址传出不会真正影响它们，所以有