私はこの質問を読んでいました:
スプーフィングを防ぐためにISPがソースアドレスをフィルタリングしないのはなぜですか?
そして、それらの回答に基づいて、ISPはスプーフィングをチェックするオーバーヘッドのためにそれを無視します。
しかし、その質問は少し古いので、開発が行われているかどうかを確認したいと思いますか?
ISPが最初のホップを実装してソースIPが有効かどうかを確認し、DHCPサーバーが指定されたIPを記録してIPの有効性を確認するのが難しいのはなぜですか?どうすればそれが大きなオーバーヘッドになるのでしょうか?
たとえば、誰かが多くのIPのスプーフィングを開始し、DDoSのような悪意のあるアクティビティを行った場合、主要なISPはそれを検出しますか、それともチェックしませんか?
私は最初に参照された元の質問を見てそこで回答しましたが、それ以降、ここに私の回答をコピーして貼り付け、追加の質問にいくつかの詳細を追加します。
ISPはスプーフィング対策を実装する必要があります。 IETFの BCP38 (2000年に記述!)は、ネットワークがフィルタリングをフィルタリングしてスプーフィングを低減し、DDoS攻撃を防止するためのベストプラクティスを説明していますが、残念ながら(?)そうする。
他の人が指摘したように、それを実装するコストはそうしない理由です。一部のネットワークでは、収益の低下も議論になる可能性があります。トラフィックを転送しないことは、顧客に低額の請求書を送信することを意味するため、フィルタリングしないことはビジネス上の判断になる可能性があります。正確なインフラストラクチャとトポロジに応じて、フィルタリングするのが簡単なのでできないかもしれません。たとえば、一部の機器はそれをサポートしていない場合や、限られた数のアクセスリストしかサポートしていない場合があります。また、一部のネットワークは、パブリックにルーティング可能なIPv4アドレスがないため、NAT)の複数のレイヤーを処理する必要があり、一部のネットワークは、ネットワークをローミングする、またはアップストリームとして複数のネットワークを使用する動的な顧客を持っています。 DHCPを実装していないネットワークもたくさんあります(コメントの1つであなたが提案したものとは異なり)これらすべてのことは、適切なスプーフィング対策を実装することを非常に複雑にする可能性があります。
ただし、数年前に [〜#〜] manrs [〜#〜] ( "ルーティングセキュリティの相互に合意された規範")で説明されているコントロールを実装することを約束するISPが増えています。そこで言及されているコントロールの1つは アンチスプーフィング です。 MANRSは、あらゆる種類の機器を備えたあらゆる種類のセットアップでさまざまな方法でアンチスプーフィングを実装するための広範なガイドをネットワークに提供します。 ISPがそれを無視しているというあなたの主張は(もはや)完全に正しいわけではありません。 MANRSが成長したのと同じように、多くのISPは、MANRSdidが問題の一部であることに気付いたため、スプーフィング対策を実装することを誓約していません。
スプーフィングは依然として問題を引き起こしますが、より多くのネットワークが制御を実装しています。なぜなら、彼らが問題の一部ではないことを確認する必要があることを認識しているからです。ただし、さまざまな理由でMANRSに従わないネットワークが常にかなり存在し、ビジネスモデルとして積極的にフィルタリングしない(したがって、より多くのより多くの虐待)。これを解決する唯一の方法は、すべての大規模な(層1/2)ネットワークで厳密なフィルタリングを実装することです。これにより、これらの悪意のあるネットワークが偽装トラフィックをインターネット経由でルーティングすることが困難になります。