针对 IP 欺骗的出口过滤
反 IP 欺骗出口过滤的应用有多广泛?
How widely applied is anti-IP-spoofing egress filtering?
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
反 IP 欺骗出口过滤的应用有多广泛?
How widely applied is anti-IP-spoofing egress filtering?
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
接受
或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
发布评论
评论(1)
我想说,几乎每个主要 ISP 要么使用显式反欺骗入口过滤器,要么使用单播反向路径转发 (uRPF) 检查。
uRPF 是一项路由器功能,可在路由表中查找每个接收到的数据包的源地址。如果没有通过数据包到达的同一接口到达源的有效路由,则数据包将被丢弃。
在客户网络上,客户是否对 ISP 进行出口过滤是不确定的。这被认为是最佳实践,但 ISP 通常不相信客户会做正确的事情。这就是为什么 ISP 几乎总是进行入口过滤(或 uRPF)。
I would say almost every major ISP either uses explicit anti-spoofing ingress filters or unicast reverse path forwarding (uRPF) checks.
uRPF is a router feature that looks up the source-address of each received packet in the routing table. If there isn't a valid route to the source via the same interface that the packet arrived on, the packet is dropped.
On the customer networks, it's hit-or-miss on whether the customer does egress filtering towards the ISP. It's considered a best practice, but ISPs generally don't trust customers to do the right thing. That's why the ISPs almost always do ingress filtering (or uRPF).