Stavo leggendo alcune delle note sul nuovo servizio DNS pubblico di Google :
Ho notato nella sezione sicurezza questo paragrafo:
Fino a quando una soluzione standard a livello di sistema per le vulnerabilità DNS non sarà universalmente implementata, come il protocollo DNSSEC2, i resolver DNS aperti devono adottare autonomamente alcune misure per mitigare le minacce note. Sono state proposte molte tecniche; vedi IETF RFC 4542: misure per rendere il DNS più resiliente rispetto alle risposte contraffatte per una panoramica della maggior parte di esse. In Google Public DNS, abbiamo implementato e ti consigliamo i seguenti approcci:
- Overprovisioning delle risorse della macchina per proteggere dagli attacchi DoS diretti ai risolutori stessi. Poiché gli indirizzi IP sono banali da falsificare per gli aggressori, è impossibile bloccare le query in base all'indirizzo IP o alla sottorete; l'unico modo efficace per gestire tali attacchi è semplicemente assorbire il carico.
Questa è una realizzazione deprimente; anche su Stack Overflow / Server Fault / Super User, utilizziamo spesso gli indirizzi IP come base per ban e blocchi di ogni tipo.
Pensare che un attaccante "di talento" possa usare banalmente qualsiasi indirizzo IP che desidera e sintetizzare tutti gli indirizzi IP falsi univoci che desidera, è davvero spaventoso!
Quindi le mie domande:
- È davvero così facile per un utente malintenzionato creare un indirizzo IP in libertà?
- In tal caso, quali mitigazioni sono possibili?