RFC 2827描述了入口过滤的想法,旨在处理利用 IP 欺骗的 DOS 攻击:
“路由器 2” 的入口(输入)链路上的输入流量过滤器为攻击者的网络提供连接,限制流量以仅允许来自 204.69.207.0/24 前缀内的源地址的流量,并禁止攻击者使用位于此前缀范围之外的“无效”源地址。
此类过滤是否在每个固件(例如 openWRT)支持的路由器中都实现?有人能给我提供一段提供此类过滤的相关代码吗?有没有记录在案的攻击案例,利用 IP 欺骗以及攻击者路由器固件中的调整来避免上述过滤。
答案1
每个固件(例如 openWRT)支持的路由器是否都实现了这样的过滤?
并非所有路由器都支持访问控制列表s。许多路由器都支持,而且按源地址过滤只需一个简单的 ACL 就足够了。您不必支持状态过滤,因此实现起来很便宜。但 IP 中并没有要求路由器支持过滤。
由于丢弃流量通常是防火墙的默认策略,因此只需允许匹配所需源地址即可实现此目的。如果默认策略为丢弃,则不匹配该规则的流量将被丢弃。