Vlákno názorů k článku Denial of Service útoky: reflektivní a zesilující typy od Martin Haller - Ano takova moznost je, a byva casto vyuzivana....

Ano takova moznost je, a byva casto vyuzivana. Ovsem toto muzete udelat pouze na hranicnich routerech (oddelujicich malou sit od internetu).

Na Cisco Routerech existuje prikaz: >> ip verify unicast reverse-path <<. Pokud je prikaz zapnuty na interface, kontroluje podle routovaci tabulky, zda paket s touhle zdrojovou adresou muze prijit zkrz tento interface. Ale jestli to maji vsude zapnute ...

To by slo, pokud by byla sit dusledne stromova. Pak by kazdy uzel vedel, z jakych IP muze odkud co priteci. U provideru obycejnych pripojeni to vetsinou jde. Pokud ale utocnik sedi na nejake kruznici, pres kterou mohou data tect tam i zpatky podle okolnosti (stavu jinych casti site), tak uz muze falsovat, jak chce.

Clanek nekolikrat zminuje zmenu IP odesilatele. Mam dojem, ze dnes (alspon v CR) uz vetsina provideru nepropusti paket se zfalsovanou adresou odesilatele. Mate podobne zkusenosti?