我想知道是否有一个局域网和一个公共 IP,通过它各种客户端连接(已分配私有 IP)。假设其中一个客户端欺骗他的 IP 试图对服务器发起攻击(比如谷歌). Google 是否有一种方法可以在没有网络管理员帮助的情况下保护自己免受此类攻击。
AskOverflow.Dev
我想知道是否有一个局域网和一个公共 IP,通过它各种客户端连接(已分配私有 IP)。假设其中一个客户端欺骗他的 IP 试图对服务器发起攻击(比如谷歌). Google 是否有一种方法可以在没有网络管理员帮助的情况下保护自己免受此类攻击。
使用欺骗性 IP 地址对 Google 进行的攻击或多或少只是 SYN 泛洪,可以很容易地防止使用 SYN cookie。
如果您使用真实 IP 地址,则可以执行更有趣的攻击。在这种情况下,您可以建立 TCP 连接并尝试攻击您在堆栈上一层找到的更广泛的软件。
防御这些攻击主要是在发现安全漏洞后对其进行修补。鉴于 Google 使用内部开发的软件堆栈,大多数此类漏洞都是由内部人员发现的。
在您描述的场景中进行欺骗不太可能。首先,您提出了一个场景,其中必须有一个应用 NAT 的路由器。如果该路由器没有发现欺骗并拒绝欺骗数据包,它很可能会对它们进行 NAT,这样当数据包到达 Internet 时就不会发生任何欺骗。
即使路由器由于某种原因被配置为注意到数据包不是来自有效的 LAN 地址并因此绕过 NAT 但仍将它们路由到 Internet,ISP 也可能会阻止它们。
谷歌有一项服务更难防范欺骗。那就是谷歌公共 DNS 服务。DNS 是由于协议的设计易于在反射/放大攻击中利用。有一些方法可以防止这种情况。我不确切知道 Google 使用了哪些方法,但互联网上有很多关于这种攻击的信息,以及可能的保护措施。
在相关的说明中,人们可能想知道 Google 如何防止洪水/DDoS 攻击。这是与欺骗完全不同的一类攻击。但是,您经常希望在堆栈的同一层进行保护。
首先,谷歌有很多网络容量。简单地向 Google 发送如此多的流量,导致其多个网络链接拥塞的攻击是极不可能的。因此,谷歌真正需要做的是检测攻击,并确保它们不会在服务器本身上消耗太多资源,或者在 DDoS 攻击中消耗太多带宽向机器人发送大量回复。