我有几个关于 IPv4 和 IPv6 欺骗的问题。不妨将它们列出来简洁:
- ISP 路由器针对欺骗源地址的常用路由策略是什么?即,如果 ISP 的路由器管理 123.123.123.xxx /24 块并且机器向它发送一个声称来自 99.99.99.99 的数据包,它仍然路由数据包吗?
- 通常,来自子网内的数据包在通过 NAT 路由器时会被转换为外部 IP。在通过这样的路由器发送数据包时,是否有人可以使用任何方法来伪造互联网端源地址?
- IPv6 是否提供任何机制或更改来缓解(或可能产生)此类问题?
通过互联网欺骗 IPv4 和 IPv6 地址
信息安全
网络
ip欺骗
IPv6
2021-09-04 10:31:44
2个回答
1)似乎没有通常的政策。许多 ISP 现在确实会丢弃带有欺骗性地址的数据包,但仍有一些负载不会。
2) 当 NAT'ing 时,一个正确配置的路由器将有一个小规则列表,这些规则定义了将要连接的 IP 地址,所以通常的攻击是从一个不会发生这种情况的位置发送。
3) NAT'ing 的原因之一是允许您在 Internet 上拥有的 IP 地址后面拥有多个 IP 地址。对于 IPv6,这可能不是什么大问题,因此 NAT'ing 最终可能会被更少使用或根本不使用。您可能会认为这可能会改变实施针对欺骗地址的保护的方式,但它不应该 - 您仍将实施规则,即对于一侧具有网络 A 的路由器,任何源地址与 A 匹配的数据包进入应该删除一个不同的接口作为欺骗。
有一个特定的 IETF RFC 解决了被通告到网络中的欺骗性 BGP 源前缀。对于 ISP,默认情况下是信任其他 ISP,这取决于您的同行严格执行此操作,有些则不这样做。
https://datatracker.ietf.org/doc/html/draft-jdurand-bgp-security-00#section-4.1.2.2