在本地网络上,攻击者可以使用伪造的源 IP 地址制作自定义 IP 数据包并将其发送到主机。我知道攻击者不会收到响应,但仍有一些攻击可以在 IP 数据包中伪造/欺骗源 IP。
但是如何在互联网上做到这一点(伪造公共 IP 地址)?如果我想发送一个带有虚假公共源 IP 地址的 IP 数据包,并且我坐在执行 NAT 的路由器后面,我假设路由器会将 IP 数据包中的虚假源 IP 更改为真实公共 IP路由器。我没有找到任何选项来关闭路由器上特定地址的 NAT。是否有具有此类选项的路由器,或者是否以其他方式完成?你们有没有人做过这样的事情?
我知道有一个类似的问题/答案是关于通过 NAT 的带有伪造源 IP 的数据包会发生什么,但它并没有真正回答我的问题。它解释了我提到的 NAT 可能存在的问题,但没有解释如何避免该问题。
如果您的 Internet 连接像大多数人一样工作(到目前为止我见过的任何 ADSL 或电缆连接),那么有一种简单的方法可以在您的末端删除 NAT:
还有一些路由器可以为您进行 IP 欺骗。任何运行 iptables 并允许您配置规则的设备都应该这样做。这里想到了支持 OpenWRT 的设备。
即使您在连接结束时没有任何 NAT,ISP 可能仍然有您必须通过的 NAT。此外,ISP 可能会过滤掉来自您的计算机且没有分配给您的源 IP 的数据包。
是的,我在多宿主服务器上做过类似的事情(所以我用我的一个 IP 代替另一个),但由于上述过滤,它不起作用。
由于多种原因,上述解决方案将永远无法工作,并且上面的用户已正确描述了部分内容。
如果您可以让 ISP 宣传属于受害者的 PI(与提供商无关)IP 空间的子网,那么您也许可以做到。说服 ISP 这样做并不容易,我知道……但是您可以说服他们与您和您自己的 AS 建立 BGP 会话,您可以在其中宣传您想要的任何内容。
一些过滤可能仍然存在于出站,但通过这种方式,您可以跳过几个 ISP 的安全级别。另外,请记住,有些组织允许您在任何地方使用 VPN,您可能还想尝试通过安全 VPN 与远程 ISP 进行 BGP。