スプーフィングを防止するために、ISPが送信元アドレスをフィルタリングしないのはなぜですか？

一部のISPは、なりすましを防ぐことで長期的にお金を節約できるという結論に達し始めています。短期的には費用がかかりますが、ネットワークの負荷が軽減され、長期的には付加価値として販売できるようになるという点で、アンチDDoSとともにアンチスプーフィングが集中し始めています。

これを構成するために必要なインフラストラクチャとチームは、主なコストがかかる場所です。有効なスプーフィングに必要となる可能性のあるアドレス（実際にはこれはそれほど問題ではないかもしれません）に関する分析が必要であり、すべてのルーター（または少なくともエッジのルーター）を構成および維持するために必要な労力はかなりのものです。高い。

IPv4も長期にわたって存在することになるため、IPv6の場合は（規模の点で）大きな課題になる可能性があります。

おそらく、IPv4のなりすましを無視して、v6 Edgeのロールアウトへの組み込みを開始することで、より多くの感覚を与えるでしょう。

これは非常に古い質問だと思いますが、関連する追加情報がいくつかあると思います。 IPスプーフィングがインターネット上の大きな問題の原因であることは間違いありません。これは、主にUDPを使用したDDoS攻撃が原因です。

ISPはスプーフィング対策を実装する必要があります。 IETFの BCP38 （2000年に記述！）は、ネットワークがフィルタリングをフィルタリングしてスプーフィングを低減し、DDoS攻撃を防止するためのベストプラクティスを説明していますが、残念ながら（？）そうする。

他の人が指摘したように、それを実装するコストはそうしない理由です。一部のネットワークでは、収益の低下も議論になる可能性があります。トラフィックを転送しないことは、顧客に低額の請求書を送信することを意味するため、フィルタリングしないことはビジネス上の判断になる可能性があります。

ただし、数年前に [〜＃〜] manrs [〜＃〜] （ "ルーティングセキュリティの相互に合意された規範"）で説明されているコントロールを実装することを約束するISPが増えています。そこで言及されているコントロールの1つは アンチスプーフィング です。 MANRSは、あらゆる種類の機器を備えたあらゆる種類のセットアップでさまざまな方法でアンチスプーフィングを実装するための広範なガイドをネットワークに提供します。

スプーフィングは依然として問題を引き起こしますが、より多くのネットワークが制御を実装しています。なぜなら、彼らが問題の一部ではないことを確認する必要があることを認識しているからです。ただし、さまざまな理由でMANRSに従わないネットワークが常にかなり存在し、ビジネスモデルとして積極的にフィルタリングしない（したがって、より多くのより多くの虐待）。これを解決する唯一の方法は、すべての大規模な（層1）ネットワークが厳密なフィルタリングを実装することです。これにより、これらの悪意のあるネットワークが偽装トラフィックをインターネット経由でルーティングすることが困難になります。

基本的な答え：コスト。これを行っても、独自のネットワークを保護することはできませんが、メンテナンスのオーバーヘッドとルーティングのオーバーヘッドという形で追加コストがかかります。発信された偽装アドレスは実際には影響を与えないため、

IPトレースバック は、インターネット上のパケットの発信元を確実に判別するためのメソッドに付けられた名前です。パケットの送信元IPアドレスは認証されないため。パケットのソースを見つける問題は、IPトレースバック問題と呼ばれます。 IPトレースバックは、攻撃の発信元を特定し、インターネットの保護対策を講じるための重要な機能です。最も人気のある提案されたテクニックがいくつかあります

1. 確率的パケットマーキング：パケットがインターネットを介してルーターを通過するときに、パケットを確率的にマーキングします。ルーターは、ルーターのIPアドレスまたはパケットがルーターに到達するまでに通過したパスのエッジのいずれかでパケットをマークします。
2. 確定的パケットマーキング：この手法では、ネットワークの入口でインバウンドパケットに単一のマークを付けようとします。彼らのアイデアは、ランダムな確率.5で、入力インターフェイスのIPアドレスの上半分または下半分をパケットのフラグメントIDフィールドに入れ、次にアドレスのどの部分が含まれるかを示す予約ビットを設定することです。フラグメントフィールド。このアプローチを使用することにより、彼らはたった7つのパケットの後に0.99の確率で0の偽陽性を得ることができると主張します。