Dans le cas d'attaques en DDoS (Distributed Denial of Service), les adresses IP sources des paquets sont soit fantaisistes (aléatoires ou très-trop dispersées) ou alors bien réelles. Dans le premier cas, le ou les attaquants ont "forgé" les adresses IP sources des paquets alors que dans le second cas il n'en ont que faire car ils s'agit de machine de type "'zombies" de moindre valeur.
Le spoofing des adresses sources est un classique.... Même si cela fait quelques bonnes années que des bonnes pratiques (cf RFC 3013) existent sur le sujet cela est très rarement mis en oeuvre dans la vraie vie par les ISPs et opérateurs....
Mais qu'en est-il ? Quels sont les réseaux qui bloquent les paquets contenant des adresses "spoofées" ? Quel est le comportement de votre fournisseur ? A quel niveau cette vérification est-elle effectuée ? Est-il possible d'avoir une vision consolidée sur le sujet ?
Un (début) de réponse à ces questions est amené via un projet du MIT appellé "Spoofer Project". Outre l'aggrégation des données, vous pouvez télécharger des outils de tests pour tester votre connexion Internet.
PS: A noter que les chiffres sont à prendre avec des pincettes car à la date d'aujourd'hui seul un peu plus de 12.000 tests ont été réalisés.
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens