La prévention du changement d'adresse IP source nécessite des listes d'accès (ACL) ou un filtrage de chemin inverse unicast (uRPF).
Ni venir gratuitement. uRPF nécessite généralement une recherche supplémentaire ou une recherche unique plus complexe, de sorte qu'il pourrait même réduire de moitié les performances de votre recherche sur certaines plates-formes. ACL ralentit la recherche et utilise la mémoire.
uRPF ne nécessite aucun entretien, il vous suffit de le configurer une fois et de l'oublier. ACL a besoin d'un système qui sait quelles adresses se trouvent derrière l'interface et s'assure que l'ACL reste à jour.
ACL plus largement pris en charge que uRPF, uRPF est une fonctionnalité relativement rare dans les périphériques de niveau commutateur L3. Dans les routeurs «réels», les deux fonctionnalités sont généralement disponibles.
Même si les deux fonctionnalités sont disponibles, configurer uRPF au mauvais endroit du réseau peut casser le réseau, ne pas comprendre les limitations ACL spécifiques à la plate-forme peut provoquer des pannes.
Habituellement, vous-même ne bénéficiez pas de la prévention de l'usurpation d'adresse source, c'est principalement Internet dans son ensemble qui en bénéficie. Vous portez un risque différent de zéro en essayant de le faire, car vous pourriez finir par casser des choses. Et vos clients ne gagneront aucun avantage, personne ne vous paiera plus pour les mettre en œuvre. La récompense est donc faible à le faire.
Un fournisseur de services responsable le fait, car c'est la bonne chose à faire, mais il est irréaliste de s'attendre à ce que nous obtenions l'antispoofing dans une grande partie des appareils d'accès déployés. Un objectif beaucoup plus réaliste est, si nous faisons l'ACL dans les connexions de transit IP, car il n'y a qu'environ 6000 numéros AS tronqués.
Ce problème est même dû aux attaques de réflexion UDP, qui peuvent être corrigées par des protocoles tels que QUIC et MinimaLT qui garantissent que la réflexion n'a aucun gain, car la requête entrante est garantie d'être plus grande que la réponse sortante, de sorte que l'usurpation d'identité perd son avantage.
Il est à nouveau récemment devenu très populaire d'utiliser la réflexion UDP comme attaque DDoS. Il y a beaucoup de serveurs DNS ouverts dans les appareils CPE grand public que les consommateurs ne connaissent pas, donc ces consommateurs souffrent car leur connexion à domicile est encombrée car elle est utilisée pour refléter l'attaque. Et c'est aussi un moyen facile d'obtenir une amplification significative. Une petite requête de dizaines d'octets peut donner une réponse importante de plus de mille octets. Il y a eu des attaques DDoS par réflexion qui sont de plusieurs centaines de gigabits par seconde, et plus petites sont quotidiennes, juste dimanche soir, nous avons transporté une attaque de 43 Gbps à l'un de nos clients.