3. Restricting forged traffic (偽造トラフィックの制限)

3. Restricting forged traffic (偽造トラフィックの制限)

このタイプの攻撃で遭遇する問題は数多くあり, ホストソフトウェア実装, ルーティング方法論, および TCP/IP プロトコル自体の欠点が関係しています。しかし, ダウンストリームネットワークから発信され, 既知で意図的にアナウンスされたプレフィックスに制限される通過トラフィックを制限することにより, 送信元アドレススプーフィングの問題は, この攻撃シナリオにおいて事実上排除できます。

                           11.0.0.0/8
                               /
                           router 1
                             /
                            /
                           /                       204.69.207.0/24
     ISP <----- ISP <---- ISP <--- ISP <-- router <-- attacker
      A          B         C        D         2
                /
               /
              /
          router 3
            /
        12.0.0.0/8

上記の例では, 攻撃者は 204.69.207.0/24 内に存在し, ISP D によってインターネット接続が提供されています。攻撃者のネットワークへの接続を提供する "router 2" の入口 (input) リンク上の入力トラフィックフィルタは, 204.69.207.0/24 プレフィックス内の送信元アドレスからのみ発信されるトラフィックを許可するようにトラフィックを制限し, 攻撃者がこのプレフィックス範囲外に存在する "無効な" 送信元アドレスを使用することを禁止します。

言い換えれば, 上記の "router 2" 上の入口フィルタは以下をチェックします:

IF    packet's source address from within 204.69.207.0/24
THEN  forward as appropriate

IF    packet's source address is anything else
THEN  deny packet

ネットワーク管理者は, ドロップされたパケットに関する情報をログに記録すべきです (SHOULD)。これにより, 疑わしい活動を監視するための基礎が提供されます。