タグ付けされた質問 「spoofing」

Googleの新しいパブリックDNSサービスに関するいくつかのメモを読んでいた： パフォーマンスの利点 セキュリティ上の利点 セキュリティのセクションでこの段落に気付きました： DNSSEC2プロトコルなど、DNSの脆弱性に対するシステム全体の標準的なソリューションが普遍的に実装されるまで、オープンDNSリゾルバーは、既知の脅威を軽減するためにいくつかの対策を個別に講じる必要があります。多くの手法が提案されています。IETF RFC 4542：ほとんどの概要については、偽造された回答に対するDNSの回復力を高める手段を参照してください。Google Public DNSでは、次のアプローチを実装しており、推奨しています。 リゾルバ自体への直接的なDoS攻撃から保護するためのマシンリソースのオーバープロビジョニング。IPアドレスは攻撃者が偽造するのは簡単なので、IPアドレスまたはサブネットに基づいてクエリをブロックすることは不可能です。そのような攻撃に対処する唯一の効果的な方法は、単純に負荷を吸収することです。 それは気のめいるような実現です。Stack Overflow / Server Fault / Super Userでも、あらゆる種類の禁止とブロックのベースとしてIPアドレスを頻繁に使用しています。 「才能のある」攻撃者が自分の望むIPアドレスを簡単に使用し、好きなだけユニークな偽のIPアドレスを合成できると考えるのは本当に怖いです！ だから私の質問： それは本当にその攻撃者が野生でのIPアドレスを偽造しやすいですか？ その場合、どのような軽減策が可能ですか？

65 security  domain-name-system  ip-address  spoofing 

作成中のWebサイトで、必要に応じて、提出物のIPアドレスを記録する予定です。プロキシは気にしませんが、あなたのIPアドレスを完全にスプーフィングすると、目的が達成できなくなります。 完全なGETアクションを実行するには、受信するかどうかにかかわらず、正当なIPアドレスが必要ですか？または、WebサイトがランダムななりすましIPアドレスからの投稿でスパムされていますか？ （POSTは別のものですか？）

27 ip  http  spoofing 

ebtablesでIP-MACペアリングルールを作成しようとしています。いくつかのチュートリアルと関連する質問[1]がありますが、私は特定の設定をしています。 環境： 私は多くの物理ホストを持っています。各ホストにはいくつかのイーサネットカードがあり、結合で結合され、ブリッジのスレーブとして使用されます。各ホスト（kvm、qemu、libvirt）には多くの仮想マシンがあります。各仮想マシンは、vnet [0-9] +と呼ばれる新しいポートを介して物理ホストのブリッジに接続されます。NATはありません。ネットワークは正常に機能し、すべての物理ホスト、すべての仮想マシンにpingを実行できます。各仮想マシンには、独自のIPアドレスとMACアドレスがあります。 問題：仮想マシン内で、IPアドレスを別のアドレスに変更できます。 見つかった解決策： ebtablesサイト[2]には既知の解決策がありますが、この解決策は1つのホストのみが使用されている場合に適用できます。すべてのトラフィックを許可し、許可されていないMACを持つIPからのパケットがある場合、パケットはドロップされます。複数のホストがある場合は、すべての既存のIP-MACペアをすべてのホストに登録する必要があります。逆ポリシーソリューションが必要です。 CRAFTED SOLUTION： ebtablesを逆に使用しようとしました。これが私が試した例です。 例1 Bridge table: filter Bridge chain: INPUT, entries: 2, policy: DROP -i bond0 -j ACCEPT -p IPv4 -s 54:52:0:98:d7:b6 --ip-src 192.168.11.122 -j ACCEPT Bridge chain: FORWARD, entries: 0, policy: ACCEPT Bridge chain: OUTPUT, entries: 0, policy: ACCEPT 例2 Bridge …

10 networking  virtual-machines  bridge  filter  spoofing