Je lisais certaines des notes relatives au nouveau service DNS public de Google :
J'ai remarqué dans la section sécurité ce paragraphe:
Jusqu'à ce qu'une solution standard au niveau des vulnérabilités DNS à l'échelle du système soit universellement mise en œuvre, telle que le protocole DNSSEC2, les résolveurs DNS ouverts doivent prendre de manière indépendante des mesures pour atténuer les menaces connues. De nombreuses techniques ont été proposées; voir IETF RFC 4542: Mesures pour rendre le DNS plus résistant aux réponses forgées pour un aperçu de la plupart d'entre elles. Dans Google Public DNS, nous avons implémenté et recommandé les approches suivantes:
- Surapprovisionnement des ressources de la machine pour se protéger contre les attaques directes de déni de service sur les résolveurs eux-mêmes. Comme les adresses IP sont faciles à falsifier, il est impossible de bloquer les requêtes basées sur une adresse IP ou un sous-réseau. le seul moyen efficace de gérer de telles attaques consiste simplement à absorber la charge.
C'est une réalisation déprimante. même en cas de dépassement de capacité / défaut du serveur / super utilisateur, nous utilisons fréquemment des adresses IP comme base pour les interdictions et les blocs de toutes sortes.
Penser qu'un attaquant "talentueux" pourrait trivialement utiliser l'adresse IP de son choix et synthétiser autant d'adresses IP fausses uniques qu'il le souhaite est vraiment effrayant!
Donc ma question (s):
- Est-il vraiment si facile pour un attaquant de forger une adresse IP à l'état sauvage?
- Si oui, quelles sont les mesures d'atténuation possibles?