Je lisais cette question:
Pourquoi les ISP ne filtrent pas l'adresse source pour empêcher l'entrepoiffage?
et sur la base de ces réponses, les ISP l'ignorent en raison de la surcharge de vérification de l'usurpointe.
Mais cette question est un peu ancienne, alors je voulais vérifier si un développement a eu lieu?
Je ne comprends tout simplement pas pourquoi il est si difficile pour les FAI de mettre en œuvre le premier houblon de vérifier si l'IP source est valide et enregistrez l'adresse IP donnée par le serveur DHCP pour vérifier la validabilité de l'adresse IP? Comment peut-il être une grosse surcharge?
Par exemple, si une personne commence à utiliser beaucoup d'IPS et que des activités malveillantes telles que DDO, seront-elles importantes.
J'ai d'abord vu la question originale référencée et y répondrai, mais je vais copier/coller ma réponse ici et ajouter quelques détails supplémentaires à vos questions supplémentaires:
L'ISP doit mettre en œuvre anti-spoofing. IETF BCP38 (écrit en 2000!) Décrit une meilleure pratique pour les réseaux de filtrage du réseau filtrant le filtrage pour réduire l'usurpation et empêcher ainsi les stacks DDOS, mais malheureusement (?) Il n'y a pas d'autorité mondiale qui peut les obliger à Le faire.
Comme les autres soulignaient, les coûts de la mise en œuvre peuvent être une raison de ne pas le faire. Les revenus inférieurs pourraient être un argument également pour certains réseaux: non pas de transfert de trafic signifie envoyer des factures plus basses aux clients. Il peut donc être une décision commerciale de ne pas filtrer. En fonction de l'infrastructure et de la topologie exactes, elle peut non Soyez si facile que vous pensez filtrer. Par exemple, certains équipements peuvent ne pas le prendre en charge ou ne peuvent prendre en charge qu'un nombre limité de listes d'accès. En outre, certains réseaux doivent faire face à plusieurs couches de NAT en raison du manque d'adresses IPv4 routées publiques et certains réseaux ont des clients dynamiques qui parcourent leurs réseaux ou même utiliser plusieurs réseaux comme amont. Il existe également de nombreux réseaux qui ne mettent pas en œuvre DHCP (contrairement à ce que vous avez suggéré dans l'un de vos commentaires). Toutes ces choses peuvent le rendre vraiment complexe de mettre en œuvre une utilisation appropriée antipoofs.
Toutefois, dans le nombre de quelques années, un nombre croissant de fournisseurs de services Internet ont pris la promotion de mettre en œuvre des contrôles décrits dans [~ # ~ # ~ ~] ("normes mutuellement convenues de sécurité de routage"). L'un des contrôles mentionnés il y a anti-spoofing . Manrs propose des réseaux un guide complet sur la mise en œuvre d'anti-spoofing de différentes manières de toutes sortes de configurations avec toutes sortes d'équipements. Votre affirmation que l'Isp ignore qu'il n'est pas tout à fait correct (plus). Juste comme Manrs a grandi, de nombreux Isp ne se prélassent pas à suivre Manrs Dis Mettre en œuvre des mesures anti-spoilage depuis leur réalisation, elles faisaient partie du problème.
Bien que les spoofing offrent toujours des problèmes, de plus en plus de réseaux mettent en œuvre des contrôles car ils se rendent compte qu'ils doivent être sûrs qu'ils ne font pas partie du problème. Cependant, je suis sûr qu'il y aura toujours un bon nombre de réseaux qui ne suivront pas les Manrs pour diverses raisons et qu'il existe également un petit nombre de réseaux qui ne filtrent volontiers pas en tant que modèle d'entreprise (et attirant ainsi plus et plus d'abus). La seule façon de résoudre ce problème sera destiné à tous les grands réseaux (niveaux 1/2) pour mettre en œuvre un filtrage strict, de sorte qu'il devient plus difficile pour ces réseaux malveillants d'obtenir leur trafic spoofé acheminé sur Internet.