web-dev-qa-db-ja.com

完全に関連のないソースIPでスプーフィングされたUDPヘッダーを正常に送信することは可能ですか?

多くのネットワークが入力/出力フィルタリングを使用して、ネットワークで送受信されたスプーフィングされたUDPパケットの数を排除していることを読んだことがあります。

ネットワークが送受信するスプーフィングされたUDPパケットの量を制限するためにネットワークが提供されていることを考えると、実際のIPアドレスと大幅に異なるスプーフィングされたヘッダーを持つUDPパケットを送信することは可能ですか?

スプーフィングされたパケットがネットワークを離れるのをブロックする以外に、ネットワークプロバイダーは、スプーフィングされたUDPパケットを送信または送信していないことを他の方法で確認できますか?

networkip-spoofingudp
5
Barkley

  1. IPアドレスを偽装することが可能です。問題は常に根本的なプロトコルです。 TCP/IPの場合、完全なハンドシェイクを続行しない限り、ほとんど運がありません。ただし、UDPの場合、応答を気にせず、フォールトトレランスを構築しようとしない場合は、それを使用できます。

  2. ルーターがIPアドレスのスプーフィングを阻止する方法はいくつかあります。 Ciscoルーターの主な方法は次のとおりです。

[〜#〜] lan [〜#〜]

非対称ルーティングを最小化する を試みるすべてのソリューションを使用します。スパニングツリープロトコル [〜#〜] stp [〜#〜] 。当然、スプーフィングされたUDPパケットには対称ルートがありません。唯一の問題は、有向グラフの問題がSTPをサポートするためにルーティングのノードのサブセットを必要とすることです。また、UDPは影響を受けない場合があります。

[〜#〜] wan [〜#〜]

RFC 1812 はあなたの懸念に対処します。インターネット上には非対称ルートがたくさんあるということに注意してください。そのため、これはより困難な作業になります。上記のRFCが参照されました here

" 8 で提案されているように、ルーターが送信者のソースIPアドレスも検証することを提案しましたが、その方法論は今日の実際のネットワークではうまく機能しません。方法送信元アドレスを調べて、そのアドレスへの戻りパスが、パケットが到着したときと同じインターフェイスから流れ出すことを確認することをお勧めします。インターネットの非対称ルートの数では、これは明らかに問題になります。」

3
grepNstepN