web-dev-qa-db-ja.com

インターネット経由のなりすましIPv4およびIPv6アドレス

IPv4とIPv6のスプーフィングに関していくつか質問があります。簡潔にするためにそれらをリストすることもできます:

  1. スプーフィングされたソースアドレスに関するISPのルーターの通常のルーティングポリシーは何ですか?つまり、ISPのルーターが123.123.123.xxx/24ブロックを管理していて、マシンが99.99.99.99からのパケットを送信した場合でも、パケットはルーティングされますか?
  2. 通常、サブネット内からのパケットは、NATルーターを通過するときに外部IPに変換されます。パケットを送信するときにインターネット側の送信元アドレスを偽造するために誰かが使用できる方法はありますか?そのようなルーター?
  3. IPv6は、そのような問題を軽減する(または作成する)メカニズムまたは変更を提供しますか?
networkip-spoofingipv6
8
Polynomial

1)通常のポリシーはないようです。現在、多くのISPはアドレスが偽装されたパケットをドロップしますが、それを行わないロードも存在します。

2)NATを実行する場合、正しく構成されたルーターには、アタッチされるIPアドレスを定義するルールの小さなリストが含まれるため、通常の攻撃は、これが発生しない場所から送信することです。

3)NATを実行する理由の1つは、インターネット上で所有しているIPアドレスの背後に複数のIPアドレスを設定できるようにすることです。 IPv6を使用すると、これで問題がはるかに少なくなる可能性があるため、NATの使用が少なくなるか、まったく使用されなくなる可能性があります。これは、なりすましアドレスに対する保護が実装される方法を変えるかもしれないと思うかもしれませんが、そうではありません-片方にネットワークAを持つルーター、入ってくるAに一致するソースアドレスを持つパケットに対して言うルールを実装します別のインターフェイスをスプーフィングとしてドロップする必要があります。

10
Rory Alsop

ネットワークにアドバタイズされるスプーフィングされたBGPソースプレフィックスに対処する特定のIETF RFCがあります。 ISPの場合、デフォルトは他のISPを信頼することであり、これを厳密に実施するかどうかはピアによって異なります。

https://tools.ietf.org/html/draft-jdurand-bgp-security-00#section-4.1.2.2

2
Ansel Gaddy