3. Restricting forged traffic (限制伪造流量)

这种类型的攻击遇到的问题是众多的, 涉及主机软件实现、路由方法论和 TCP/IP 协议本身的缺陷。然而, 通过将源自下游网络的过境流量限制为已知且有意通告的前缀, 在这种攻击场景中源地址欺骗的问题可以几乎被消除。

                           11.0.0.0/8
                               /
                           router 1
                             /
                            /
                           /                       204.69.207.0/24
     ISP <----- ISP <---- ISP <--- ISP <-- router <-- attacker
      A          B         C        D         2
                /
               /
              /
          router 3
            /
        12.0.0.0/8

在上面的示例中, 攻击者位于 204.69.207.0/24 内, 该网络由 ISP D 提供互联网连接。在 "router 2" 的入口 (输入) 链路上的输入流量过滤器, 该路由器为攻击者的网络提供连接, 限制流量仅允许源自 204.69.207.0/24 前缀内源地址的流量, 并禁止攻击者使用位于此前缀范围之外的 "无效" 源地址。

换句话说, 上面 "router 2" 上的入口过滤器将检查:

IF    packet's source address from within 204.69.207.0/24
THEN  forward as appropriate

IF    packet's source address is anything else
THEN  deny packet

网络管理员应记录被丢弃的数据包的信息。这为监控任何可疑活动提供了基础。

3. Restricting forged traffic (限制伪造流量)​

3. Restricting forged traffic (限制伪造流量)