Как работает подмена IP-адреса, когда задействован маршрутизатор с открытым IP-адресом?

359
John Smith

В Википедии говорится, что выходная фильтрация «проверяет, что IP-адрес источника во всех исходящих пакетах находится в диапазоне выделенных блоков внутреннего адреса», а при подмене IP-адреса говорится: «В идеале шлюз также должен выполнять выходную фильтрацию исходящих пакетов, которая блокирует». пакетов изнутри сети с адресом источника, которого нет внутри ». Это якобы предотвращает IP-спуфинг.

Но разве маршрутизатор по своей сути не предотвращает это путем NAT / PATing всех внутренних IP-адресов: ephemeralPorts на внешние, которые всегда будут принимать форму внешнего IP-адреса маршрутизатора, что означает, что исходный IP-адрес никогда не будет подделан независимо от к чему оригинальный хост подделал это?

1
Вы можете путать «внутреннюю» или «внутреннюю» с «частной IP-адресацией». Да, очевидно, что спуфинг IP-адреса источника должен происходить на общедоступных IP-диапазонах, а не на частных, не маршрутизируемых адресах. Пакет будет просто отброшен. Appleoddity 6 лет назад 0

1 ответ на вопрос

3
grawity

Не все сети выполняют NAT. Единственный раз, когда вам нужно выполнить NAT, это когда у вас есть только один маршрутизатор с его общедоступным IP-адресом, а остальная часть вашей сети имеет частные.

Цитата не о выходной фильтрации на границе этих сетей. Вместо этого речь идет в основном о фильтрации в сетях, где все устройства уже имеют публичные адреса и нет NAT - например, центр данных, полный серверов, или сеть интернет-провайдера со всеми клиентами в нем.

Как эти поддельные пакеты от клиентов попадут в сеть интернет-провайдера? Без труда.

  • Бизнес-клиент может иметь собственный пул общедоступных адресов для назначения отдельным компьютерам, серверам, принтерам или другим устройствам.
  • Даже домашнее соединение, с его типичным одиночным адресом, на самом деле не связано с использованием маршрутизатора: клиент может с таким же успехом подключить один компьютер напрямую к модему, и этот компьютер сразу же получит внешний адрес.
  • Или, как это уже происходило во многих случаях, сам дешевый маршрутизатор может быть заражен вредоносным ПО и генерировать эти поддельные пакеты самостоятельно.

Наконец, даже когда речь идет о сети с NAT и частными адресами, вопрос заключается в том, действительно ли настроено правило NAT для соответствия всем адресам источника ... или только частным. Вполне возможно, что некоторые маршрутизаторы просто пропускают пакеты, которые уже имеют общедоступный адрес источника, при условии, что они «уже NAT».