Contents
起点となったネットワークの中にいる攻撃者が、 境界におけるフィルタリングルールに合わない偽ったソースアドレスを使用して、 この種の攻撃を仕掛けることを防ぎます。
RFC 2827 https://datatracker.ietf.org/doc/html/rfc2827
日本語訳 https://www.nic.ad.jp/ja/tech/ipa/RFC2827JA.html
JPCERT/CC https://www.jpcert.or.jp/tips/2005/wr053201.html
Network Ingress Filtering:
- Defeating Denial of Service Attacks which employ
- IP Source Address Spoofing
While the filtering method discussed in this document does absolutely nothing to protect against flooding attacks which originate from valid prefixes (IP addresses), it will prohibit an attacker within the originating network from launching an attack of this nature using forged source addresses that do not conform to ingress filtering rules. All providers of Internet connectivity are urged to implement filtering described in this document to prohibit attackers from using forged source addresses which do not reside within a range of legitimately advertised prefixes. In other words, if an ISP is aggregating routing announcements for multiple downstream networks, strict traffic filtering should be used to prohibit traffic which claims to have originated from outside of these aggregated announcements.
3. 偽ったトラフィックを制限する
ダウンストリームネットワークから発信され、 既知の広告されたプリフィックス(IPアドレス)に送られるトラフィックを制限することによって、 机上では、 この攻撃のシナリオにおけるソースアドレススプーフィングの問題は、 根絶されることになります。