Chinaunix

标题: 请教一下大家:各网络运营商有能力完全阻止源IP欺骗吗? [打印本页]

作者: abc3w 时间: 2006-04-20 21:14
标题: 请教一下大家:各网络运营商有能力完全阻止源IP欺骗吗?
有些攻击使用欺骗性源地址发送请求,网络运营商能完全阻止吗?现在还可能有这种情况吗?

[ 本帖最后由 abc3w 于 2006-4-20 21:24 编辑 ]

作者: ayazero 时间: 2006-04-20 21:19
当然不能

作者: abc3w 时间: 2006-04-20 21:33
不是说NAT,不知道怎么表达,表达不清.

例如: ADSL上网或其它接入方式上网, IP是 202.202.202.202,但该网络发送出源地址非202.202.202.202的数据包,这样的包ISP是怎么处理的?

作者: zhangzzs 时间: 2006-04-20 21:53
ISP基本上不会管这些的，要不他们路由的负荷得多大呀.

作者: abc3w 时间: 2006-04-20 22:08
不了解路由协议,不知道ISP是不能管还是不管.
如果能的话,一部份TCP拒绝服务是不是可能得到一定的缓减?

作者: cnadl 时间: 2006-04-21 00:32
不需要路由协议，cisco和juniper都有类似的特性，但是运营商们才不会开呢，drop的流量是不算流量的

作者: colddawn 时间: 2006-04-21 15:53
防止这个需要在运营商设备上作acl或者策略路由，丢掉外出方向源ip地址非本地的包，但是这些设置都会占用不小的设备资源。不做规则，顶多是出流量大些，只要不跑满自己出口带宽的话影响不大，但作了规则之后，大量的ip头查询很有可能将自己设备负载扯到非常高，甚至影响设备对正常流量的转发能力。与其自己死不如让别人死了，反正不是自己干的就免则，凭目前国内运营商的联动能力受害方基本也找不到源头，所以多一事不如少一事。
个人感觉流量费用的原因不会太大。

作者: cnadl 时间: 2006-04-21 16:23
以cisco设备为例：

http://www.cisco.com/en/US/produ ... 186a00804fdef9.html

只要设备支持CEF即可，并且不会对设备性能造成太大压力。

作者: colddawn 时间: 2006-04-21 16:56
第一次接触CEF这个东西，我所说负载高是一些前人的经验，请问楼上“不会对设备性能造成太大压力”是在何种环境下测试得出？如果有详细数据那最好不过了，对于此类欺骗源ISP应该负上一定责任，但目前的普遍情况是很少有ISP关心这方面的东西，不明白真的是有这么好的技术没人用，还是技术实施局限大？

作者: abc3w 时间: 2006-04-21 20:14
听说一些ISP有端口IP绑定等措施来解决这些问题,那么RDDOS等类似攻击会不会因此退出舞台?

作者: watchthinker 时间: 2006-04-21 23:11
Unicat Reverse Path Forwarding (uRPF)是用来做这个的了

主要的路由器都会支持这个特性，而且都应该是用硬件实现的，不会影响到性能。

原帖由 abc3w 于 2006-4-20 21:14 发表
有些攻击使用欺骗性源地址发送请求,网络运营商能完全阻止吗?现在还可能有这种情况吗?

作者: cnadl 时间: 2006-04-22 06:42

原帖由 colddawn 于 2006-4-21 16:56 发表
第一次接触CEF这个东西，我所说负载高是一些前人的经验，请问楼上“不会对设备性能造成太大压力”是在何种环境下测试得出？如果有详细数据那最好不过了，对于此类欺骗源ISP应该负上一定责任，但目前的普遍情况是很 ...

无数种环境都用过，当然，backbone上的router不适合开这个功能，这是肯定的。

另外，国内开不开，电信一句话就说了算了；外面的开不开，还得看SLA怎么签订的。

[ 本帖最后由 cnadl 于 2006-4-22 06:44 编辑 ]

作者: abc3w 时间: 2006-04-23 10:21
如此这般,长见识了.

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)