起点となったネットワークの中にいる攻撃者が、 境界におけるフィルタリングルールに合わない偽ったソースアドレスを使用して、 この種の攻撃を仕掛けることを防ぎます。

RFC 2827 https://datatracker.ietf.org/doc/html/rfc2827

日本語訳 https://www.nic.ad.jp/ja/tech/ipa/RFC2827JA.html

JPCERT/CC https://www.jpcert.or.jp/tips/2005/wr053201.html

Network Ingress Filtering:

• Defeating Denial of Service Attacks which employ
  • IP Source Address Spoofing

While the filtering method discussed in this document does
   absolutely nothing to protect against flooding attacks which
   originate from valid prefixes (IP addresses), it will prohibit an
   attacker within the originating network from launching an attack of
   this nature using forged source addresses that do not conform to
   ingress filtering rules. 

All providers of Internet connectivity are
   urged to implement filtering described in this document to prohibit
   attackers from  using forged source addresses which do not reside
   within a range of legitimately advertised prefixes.  
In other words,
   if an ISP is aggregating routing announcements for multiple
   downstream networks, strict traffic filtering should be used to
   prohibit traffic which claims to have originated from outside of
   these aggregated announcements.

3. 偽ったトラフィックを制限する

ダウンストリームネットワークから発信され、 既知の広告されたプリフィックス(IPアドレス)に送られるトラフィックを制限することによって、 机上では、 この攻撃のシナリオにおけるソースアドレススプーフィングの問題は、 根絶されることになります。

CategoryDns CategoryWatch CategoryTemplate