7.4. Usurpation d'adresses source (Spoofed Source Addresses)

En usurpant l'adresse source dans un datagramme, un attaquant PEUT violer le modèle de service SSM (Source-Specific Multicast, multicast spécifique à la source) en transmettant des datagrammes sur le canal appartenant à un autre hôte. Par conséquent, les applications nécessitant une authentification forte NE DEVRAIENT PAS supposer que tous les paquets arrivant sur un canal ont été envoyés par la source demandée, et DEVRAIENT utiliser des mécanismes d'authentification de couche supérieure. Par exemple, l'en-tête d'authentification IPsec [RFC2401, RFC4301] PEUT être utilisé pour authentifier la source d'une transmission SSM.

Une certaine protection contre l'usurpation d'adresse source dans le multicast est déjà assez répandue, car les protocoles de routage multicast IP couramment déployés [PIM-DM, PIM-SM, DVMRP] incluent une « vérification de transfert sur chemin inverse » (RPF, Reverse Path Forwarding) qui vérifie que les paquets multicast arrivent sur l'interface attendue pour leur adresse source. Les protocoles de routage utilisés pour le SSM DEVRAIENT inclure une telle vérification.

Le routage par la source [RFC791] (lâche et strict), combiné à l'usurpation d'adresse source, PEUT être utilisé pour permettre à un imposteur de la source réelle du canal d'injecter des paquets dans un canal SSM. Les routeurs SSM DEVRAIENT interdire par défaut le routage par la source vers les adresses de destination SSM. Les routeurs PEUVENT disposer d'une option de configuration permettant le routage par la source. L'utilisation de mécanismes anti-usurpation d'adresse source, tels que le filtrage des adresses source en périphérie du réseau, est fortement recommandée.