3. Restricting forged traffic

Les problèmes rencontrés avec ce type d'attaque sont nombreux et impliquent des lacunes dans les implémentations logicielles hôtes, les méthodologies de routage et les protocoles TCP/IP eux-mêmes. Cependant, en restreignant le trafic de transit qui provient d'un réseau en aval à des préfixes connus et intentionnellement annoncés, le problème d'usurpation d'adresse source peut être virtuellement éliminé dans ce scénario d'attaque.

                           11.0.0.0/8
                               /
                           router 1
                             /
                            /
                           /                       204.69.207.0/24
     ISP <----- ISP <---- ISP <--- ISP <-- router <-- attacker
      A          B         C        D         2
                /
               /
              /
          router 3
            /
        12.0.0.0/8

Dans l'exemple ci-dessus, l'attaquant réside dans 204.69.207.0/24, qui bénéficie de la connectivité Internet fournie par l'ISP D. Un filtre de trafic entrant sur le lien d'entrée (input) du « router 2 », qui fournit la connectivité au réseau de l'attaquant, restreint le trafic pour n'autoriser que le trafic provenant d'adresses source dans le préfixe 204.69.207.0/24, et empêche un attaquant d'utiliser des adresses source « invalides » qui résident en dehors de cette plage de préfixes.

En d'autres termes, le filtre d'entrée sur « router 2 » ci-dessus vérifierait :

IF    packet's source address from within 204.69.207.0/24
THEN  forward as appropriate

IF    packet's source address is anything else
THEN  deny packet

Les administrateurs réseau devraient enregistrer les informations sur les paquets qui sont abandonnés. Cela fournit alors une base pour surveiller toute activité suspecte.