在因特网上伪造IPv4和IPv6地址
在因特网上伪造IPv4和IPv6地址
提问于 2011-10-12 13:19:10
我有几个关于IPv4和IPv6欺骗的问题。不妨把它们列出来,使其简洁:
- 对于伪造的源地址,ISP的路由器通常的路由策略是什么?也就是说,如果ISP的路由器管理123.123.123.xxx /24块,机器向它发送一个声称为99.99.99的数据包,它还会路由该数据包吗?
- 通常,子网中的数据包在通过NAT路由器时会被转换为外部IP。在通过这样的路由器发送数据包时,是否有人可以使用任何方法来伪造因特网端源地址?
- IPv6是否提供任何机制或更改来减轻(或可能造成)此类问题?
回答 2
Security用户
回答已采纳
发布于 2011-10-12 13:31:51
( 1)似乎没有一项通常的政策。许多ISP现在都会丢弃带有伪造地址的数据包,但是仍然有负载没有。
2)当NAT‘’ing时,正确配置的路由器将有一小部分规则列表,这些规则定义将要附加的IP地址,因此通常的攻击是从不发生这种情况的位置发送。
3) NAT的原因之一是允许您在Internet上拥有多个IP地址。使用IPv6,这可能是一个小得多的问题,所以NAT‘’ing可能最终会被更少地使用,或者根本不被使用。您可能认为这可能会改变防止伪造地址的保护方式,但它不应该实现--您仍然将实现一些规则,这些规则规定,对于具有网络A的路由器,任何具有与不同接口中的A匹配的源地址的数据包都应该作为欺骗被删除。
Security用户
发布于 2015-05-04 22:14:27
有一个特定的IETF,用于在网络中宣传伪造的BGP源前缀。对于ISP来说,默认情况是信任其他ISP,这取决于您的对等方是否严格执行此操作,而有些则不这样做。
https://datatracker.ietf.org/doc/html/draft-jdurand-bgp-security-00#section-4.1.2.2
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/8066
复制相关文章
相似问题
腾讯云开发者
