web-dev-qa-db-ja.com

パブリックIPが関係するルーターがある場合、IPアドレススプーフィングはどのように機能しますか?

ウィキペディアでは、「出力フィルタリング」は、すべてのアウトバウンドパケットの送信元IPアドレスが割り当てられた内部アドレスブロックの範囲内にあることを確認し、「IPスプーフィングでは、ゲートウェイは、ブロッキングしている発信パケットに対しても出力フィルタリングを実行するのが理想的です」と述べています。送信元アドレスが内部にないネットワーク内部からのパケットの数。おそらくIPスプーフィングを防ぎます。

ただし、ルーターは、すべてのinternalIPs:ephemeralPortsを常にルーターのexternalIPの形式をとる外部IPにNAT/PATすることで、本質的にこれを防止しません。つまり、ソースIPがスプーフィングされることはありません。元のホストがそれを偽装したものは何ですか?

1
John Smith

すべてのネットワークがNATを実行するわけではありません。 haveを実行するのはNAT)が、パブリックIPアドレスを持つルーターが1つだけあり、ネットワークの残りの部分にプライベートIPアドレスがある場合だけです。

引用は、それらのネットワークのエッジでの出力フィルタリングに関するものではありません。代わりに、それは主に、すべてのデバイスがすでにパブリックアドレスを持ち、NAT –サーバーでいっぱいのデータセンターやISPのネットワークなどすべてのその中の顧客。

しかし、顧客からのなりすましパケットはどのようにしてISPのネットワークに到達するのでしょうか。簡単に。

  • ビジネス顧客は、個々のコンピューター、サーバー、プリンター、またはその他のデバイスに割り当てる独自のパブリックアドレスのプールを持っている場合があります。
  • 典型的な単一のアドレスを持つホーム接続でさえ、そうではありません実際にはルーターの使用にバインドされています:顧客は単一のPCをモデムに直接接続することもでき、そのコンピューターはすぐに外部アドレス。
  • または、すでに多くの場合に発生しているため、安価なルーター自体がマルウェアに感染し、それらのなりすましパケットを独自に生成する可能性があります。

最後に、問題のネットワークis NATとプライベートアドレスを持つネットワークの場合でも、問題は、そのNATルールが実際にall送信元アドレス...またはプライベートアドレスと一致するように設定します。一部のルーターは、すでにパブリック送信元アドレスを持っているパケットをパススルーするだけである可能性があります。 「すでにNATされている」。

3
user1686