IP地址“容易偽造”嗎?
我正在閱讀有關Google 新的公共 DNS 服務的一些說明:
我在安全部分下注意到這一段:
在普遍實施針對 DNS 漏洞的標準系統範圍解決方案(例如 DNSSEC2 協議)之前,開放式 DNS 解析器需要獨立採取一些措施來緩解已知威脅。已經提出了許多技術;請參閱IETF RFC 4542:使 DNS 對偽造答案更具彈性的措施,以了解其中的大部分內容。在 Google 公共 DNS 中,我們實施並推薦了以下方法:
- 過度配置機器資源以防止對解析器本身的直接 DoS 攻擊。由於 IP 地址對於攻擊者來說很容易偽造,因此不可能阻止基於 IP 地址或子網的查詢;處理此類攻擊的唯一有效方法是簡單地吸收負載。
這是一個令人沮喪的認識;即使在 Stack Overflow / Server Fault / Super User 上,我們也經常使用 IP 地址作為各種禁止和阻止的基礎。
認為一個“有才華”的攻擊者可以輕而易舉地使用他們想要的任何 IP 地址,並根據需要合成盡可能多的唯一假 IP 地址,真是太可怕了!
所以我的問題:
- 攻擊者在野外偽造IP地址真的那麼容易嗎?
- 如果是這樣,可以採取哪些緩解措施?
正如許多其他人所說,只要不關心接收響應,IP 標頭就很容易偽造。這就是為什麼它最常見於 UDP,因為 TCP 需要 3 次握手。一個值得注意的例外是SYN flood,它使用 TCP 並試圖佔用接收主機上的資源。同樣,由於答復被丟棄,源地址無關緊要。
攻擊者欺騙源地址的能力的一個特別討厭的副作用是反向散射攻擊。這裡有一個很好的描述,但簡而言之,它與傳統的 DDoS 攻擊相反:
- 控制殭屍網路。
- 將所有節點配置為對惡意數據包使用相同的源 IP 地址。此 IP 地址將成為您的最終受害者。
- 將數據包從所有受控節點發送到 Internet 上的各個地址,以通常未打開的埠為目標,或連接到聲稱是現有事務的一部分的有效埠 (TCP/80)。
在 (3) 中提到的任何一種情況下,許多主機都會響應 ICMP 不可達或 TCP 重置,目標是惡意數據包的源地址。攻擊者現在可能在網路上擁有數千台不受影響的機器,通過使用欺騙的源 IP 地址對他/她選擇的受害者執行 DDoS 攻擊。
在緩解方面,這種風險實際上是只有 ISP(尤其是提供客戶訪問而不是傳輸的 ISP)才能解決的風險。有兩種主要方法可以做到這一點:
- 入口過濾- 確保進入您網路的數據包來自位於傳入介面遠端的地址範圍。許多路由器供應商實現了單播反向路徑轉發等功能,這些功能使用路由器的路由和轉發表來驗證傳入數據包的源地址的下一跳是否是傳入介面。這最好在網路中的第 3 層躍點(即您的預設網關)中執行。
- 出口過濾- 確保離開您的網路的數據包僅來自您擁有的地址範圍。這是對入口過濾的自然補充,本質上是成為“好鄰居”的一部分;確保即使您的網路受到惡意流量的威脅,該流量也不會轉發到您對等的網路。
這兩種技術在客戶端與提供商互動的“邊緣”或“接入”網路中執行時最有效且最容易實現。由於多路徑和非對稱路由的複雜性,在接入層上實施入口/出口過濾變得更加困難。
我已經看到這些技術(尤其是入口過濾)在企業網路中發揮了巨大的作用。也許具有更多服務提供商經驗的人可以更深入地了解在整個網際網路上部署入口/出口過濾的挑戰。我認為硬體/韌體支持是一個很大的挑戰,並且無法迫使其他國家的上游供應商實施類似的政策……