3. Ограничение фальсифицированного трафика
Проблемы, связанные с этим типом атак, достаточно многочисленны и включают недостатки реализации используемых хостами программ, методы маршрутизации и стек TCP/IP в целом. Однако, ограничение транзитного трафика из обслуживаемых сетей известными и осознанно анонсируемыми префиксами адресов позволит существенно снизить возможность организации атак с подменой адресов.
11.0.0.0/8 / router 1 / / / 204.69.207.0/24 ISP <----- ISP <---- ISP <--- ISP <-- router <-- attacker A B C D 2 / / / router 3 / 12.0.0.0/8
В приведенном примере атакующий находится в сети 204.69.207.0/24, подключение которой к Internet обеспечивает провайдер ISP D. Фильтрация входящего трафика на интерфейсе маршрутизатора 2, обеспечивающего связь с сетью атакующего, которая позволит принимать лишь те пакеты, где адрес отправителя относится к блоку 9.0.0.0/8, заблокирует возможность атаки с использованием подставных адресов из другого блока.
Фильтр входящих пакетов на маршрутизаторе 2 работает по следующему алгоритму:
IF адрес отправителя в пакете относится к сети 204.69.207.0/24
THEN пакет пересылается в направлении получателя
IF если адрес отправителя в пакете относится к любому другому блоку
THEN пакет отбрасывается (drop).
Администраторы должны вести журнал отбрасываемых пакетов, который обеспечит постоянный мониторинг любых подозрительных действий.