3. Restricting forged traffic (Restrizione del traffico falsificato)

3. Restricting forged traffic (Restrizione del traffico falsificato)

I problemi riscontrati con questo tipo di attacco sono numerosi e coinvolgono carenze nelle implementazioni software degli host, nelle metodologie di routing e nei protocolli TCP/IP stessi. Tuttavia, limitando il traffico in transito che proviene da una rete downstream a prefissi noti e intenzionalmente pubblicizzati, il problema dello spoofing dell'indirizzo sorgente può essere praticamente eliminato in questo scenario di attacco.

                           11.0.0.0/8
                               /
                           router 1
                             /
                            /
                           /                       204.69.207.0/24
     ISP <----- ISP <---- ISP <--- ISP <-- router <-- attacker
      A          B         C        D         2
                /
               /
              /
          router 3
            /
        12.0.0.0/8

Nell'esempio sopra, l'attaccante risiede all'interno di 204.69.207.0/24, a cui viene fornita connettività Internet dall'ISP D. Un filtro di traffico in ingresso sul link di ingress (input) del "router 2", che fornisce connettività alla rete dell'attaccante, limita il traffico per consentire solo il traffico proveniente da indirizzi sorgente all'interno del prefisso 204.69.207.0/24 e impedisce a un attaccante di utilizzare indirizzi sorgente "non validi" che risiedono al di fuori di questo intervallo di prefissi.

In altre parole, il filtro in ingresso sul "router 2" sopra verificherebbe:

IF    l'indirizzo sorgente del pacchetto proviene da 204.69.207.0/24
THEN  inoltra in modo appropriato

IF    l'indirizzo sorgente del pacchetto è qualsiasi altra cosa
THEN  nega il pacchetto

Gli amministratori di rete dovrebbero registrare informazioni sui pacchetti che vengono scartati. Questo fornisce quindi una base per monitorare qualsiasi attività sospetta.