1. Introduction (Introduzione)
1. Introduction (Introduzione)
Una recrudescenza di attacchi Denial of Service (Negazione del Servizio) [1] diretti a vari obiettivi in Internet ha prodotto nuove sfide all'interno delle comunità degli Internet Service Provider (ISP) e della sicurezza di rete per trovare metodi nuovi e innovativi per mitigare questi tipi di attacchi. Le difficoltà nel raggiungere questo obiettivo sono numerose; alcuni strumenti semplici esistono già per limitare l'efficacia e la portata di questi attacchi, ma non sono stati ampiamente implementati.
Questo metodo di attacco è noto da tempo. Difendersi da esso, tuttavia, è stata una preoccupazione continua. Bill Cheswick è citato in [2] per aver ritirato un capitolo dal suo libro, "Firewalls and Internet Security" [3], all'ultimo minuto perché non c'era modo per un amministratore del sistema sotto attacco di difendere efficacemente il sistema. Menzionando il metodo, era preoccupato di incoraggiarne l'uso.
Mentre il metodo di filtraggio discusso in questo documento non fa assolutamente nulla per proteggere contro attacchi di flooding che provengono da prefissi validi (indirizzi IP), impedirà a un attaccante all'interno della rete di origine di lanciare un attacco di questa natura utilizzando indirizzi sorgente falsificati che non sono conformi alle regole di filtraggio in ingresso (ingress filtering). Tutti i fornitori di connettività Internet sono esortati a implementare il filtraggio descritto in questo documento per impedire agli attaccanti di utilizzare indirizzi sorgente falsificati che non risiedono all'interno di un intervallo di prefissi legittimamente pubblicizzati. In altre parole, se un ISP sta aggregando annunci di routing per più reti downstream, dovrebbe essere utilizzato un filtraggio rigoroso del traffico per impedire il traffico che afferma di aver avuto origine dall'esterno di questi annunci aggregati.
Un ulteriore vantaggio dell'implementazione di questo tipo di filtraggio è che consente di tracciare facilmente l'originatore fino alla sua vera sorgente, poiché l'attaccante dovrebbe utilizzare un indirizzo sorgente valido e legittimamente raggiungibile.