Я читав деякі нотатки про нову загальнодоступну службу DNS Google :
Я помітив у розділі безпеки цей параграф:
До тих пір, поки загальносистемне рішення вразливих місць DNS не буде впроваджено універсально, як-от протокол DNSSEC2, відкриті DNS-рішення повинні самостійно вживати певних заходів для зменшення відомих загроз. Запропоновано багато методик; див. IETF RFC 4542: Заходи для підвищення DNS більш стійких щодо підроблених відповідей для огляду більшості з них. У Google Public DNS ми застосували та рекомендуємо такі підходи:
- Перевиконання машинних ресурсів для захисту від прямих атак DoS на самих розділювачів . Оскільки IP-адреси є тривіальними для зловмисників, які підробляють, неможливо блокувати запити на основі IP-адреси або підмережі; єдиний ефективний спосіб впоратися з такими атаками - це просто поглинати навантаження.
Це гнітюче усвідомлення; навіть на стеку Overflow / Server Fault / Super User, ми часто використовуємо IP-адреси як основу для заборон та блоків усіх типів.
Думати, що "талановитий" зловмисник може тривіально використовувати будь-яку IP-адресу, яку вони хочуть, і синтезувати стільки унікальних підроблених IP-адрес, скільки хоче, насправді страшно!
Тож моє питання:
- Чи справді це , що легко зловмисникові підробити IP - адреса в дикій природі?
- Якщо так, то які пом'якшення можливі?