আইপি ঠিকানাগুলি "জালিয়াতির জন্য তুচ্ছ"?

আমি গুগলের নতুন পাবলিক ডিএনএস পরিষেবাতে কয়েকটি নোটের মাধ্যমে পড়ছিলাম :

• পারফরম্যান্স বেনিফিট
• সুরক্ষা সুবিধা

আমি সুরক্ষা বিভাগের অধীনে এই অনুচ্ছেদে লক্ষ্য করেছি:

যতক্ষণ না ডিএনএস দুর্বলতার জন্য একটি স্ট্যান্ডার্ড সিস্টেম-ব্যাপী সমাধান সর্বজনীনভাবে প্রয়োগ করা হয়, যেমন ডিএনএসএসইসি 2 প্রোটোকল, ততক্ষণে খোলা ডিএনএস রেজোলারদের পরিচিত হুমকির বিরুদ্ধে প্রশমিত করার জন্য কিছু ব্যবস্থা নিতে হবে। অনেক কৌশল প্রস্তাব করা হয়েছে; দেখতে নকল উত্তর বিরুদ্ধে ডিএনএস আরো প্রাণবন্ত তৈরীর জন্য ব্যবস্থা: IETF জন্য RFC 4542 তাদের অধিকাংশই একটি ওভারভিউ জন্য। গুগল পাবলিক ডিএনএসে, আমরা নিম্নলিখিত পন্থাগুলি প্রয়োগ করেছি এবং সুপারিশ করছি:

• নিজেরাই সমাধানকারীদের উপর সরাসরি ডওসের আক্রমণ থেকে রক্ষা করার জন্য ওভারপ্রোভিজনিং মেশিনের সংস্থানগুলি । যেহেতু আক্রমণকারীদের জাল করতে আইপি ঠিকানাগুলি তুচ্ছ, তাই আইপি ঠিকানা বা সাবনেটের উপর ভিত্তি করে কোয়েরিগুলি ব্লক করা অসম্ভব; এই ধরনের আক্রমণ পরিচালনা করার একমাত্র কার্যকর উপায় হ'ল সহজভাবে বোঝা শোষণ করা।

এটি হতাশাজনক উপলব্ধি; এমনকি স্ট্যাক ওভারফ্লো / সার্ভার ফল্ট / সুপার ব্যবহারকারীর ক্ষেত্রেও, আমরা প্রায়শই আইপি ঠিকানাগুলি সমস্ত ধরণের নিষিদ্ধকরণ এবং ব্লকের ভিত্তি হিসাবে ব্যবহার করি।

একজন "মেধাবী" আক্রমণকারী যা চান তার আইপি অ্যাড্রেসকে তুচ্ছভাবে ব্যবহার করতে পারে এবং যতগুলি অনন্য জাল আইপি ঠিকানা তারা চায় সংশ্লেষ করতে পারে তা ভেবে সত্যিই ভয়ঙ্কর!

সুতরাং আমার প্রশ্ন (গুলি):

• আক্রমণভাগের পক্ষে বুনো কোনও আইপি ঠিকানা জাল করা কি এত সহজ?
• যদি তা হয়, তবে কোন প্রশমনগুলি সম্ভব?

অন্য অনেকের দ্বারা যেমন বলা হয়েছে, আইপি শিরোনামগুলি তত্ক্ষণাত ক্ষুদ্র হয়, যতক্ষণ না কেউ প্রতিক্রিয়া পাওয়ার বিষয়ে চিন্তা করে না। এই কারণেই এটি বেশিরভাগ ইউডিপির সাথে দেখা হয়, কারণ টিসিপির জন্য 3-উপায় হ্যান্ডশেক প্রয়োজন requires একটি উল্লেখযোগ্য ব্যতিক্রম হ'ল এসওয়াইএন বন্যা , যা টিসিপি ব্যবহার করে এবং প্রাপ্তি হোস্টের সংস্থানগুলি সংযোগ দেওয়ার চেষ্টা করে; আবার, উত্তরগুলি বাতিল হওয়ার সাথে সাথে উত্সের ঠিকানাটি কোনও বিষয় নয়।

সোর্স অ্যাড্রেসগুলিকে ছদ্মবেশে আক্রমণকারীদের সক্ষমতার বিশেষত একটি বাজে পার্শ্ব-প্রতিক্রিয়া হ'ল ব্যাকস্কেটার আক্রমণ। সেখানে একটি চমৎকার বিবরণ এখানে , কিন্তু সংক্ষেপে, এটি একটি ঐতিহ্যগত DDoS আক্রমণ বিপরীত হল:

1. একটি বোটনেটের নিয়ন্ত্রণ পান।
2. দূষিত প্যাকেটের জন্য একই উত্সের আইপি ঠিকানা ব্যবহার করতে আপনার সমস্ত নোড কনফিগার করুন । এই আইপি ঠিকানাটি আপনার চূড়ান্ত শিকার হবে।
3. আপনার সমস্ত নিয়ন্ত্রিত নোড থেকে পুরো ইন্টারনেট জুড়ে বিভিন্ন ঠিকানায় প্যাকেটগুলি প্রেরণ করুন, পোর্টগুলি লক্ষ্য করে যেগুলি সাধারণত উন্মুক্ত নয় বা বৈধ বন্দরগুলির সাথে সংযুক্ত (টিসিপি / 80) ইতিমধ্যে বিদ্যমান লেনদেনের অংশ বলে দাবি করে।

(3) এ উল্লিখিত যে কোনও একটি ক্ষেত্রে, অনেক হোস্ট দূষিত প্যাকেটের উত্স ঠিকানায় লক্ষ্য করে একটি আইসিএমপি অ্যাক্সেসযোগ্য বা টিসিপি রিসেট দিয়ে প্রতিক্রিয়া জানায় । আক্রমণকারীটির এখন সম্ভাব্যভাবে হাজার হাজার আপোষহীন মেশিন রয়েছে নেটওয়ার্কটিতে তার / তার নির্বাচিত শিকারের উপর ডিডোএস আক্রমণ চালাচ্ছেন, এটি সমস্ত ছদ্মবেশী উত্সের আইপি ঠিকানা ব্যবহারের মাধ্যমে।

প্রশমিতকরণের ক্ষেত্রে, এই ঝুঁকিটি হ'ল কেবলমাত্র আইএসপিগুলি (এবং বিশেষত আইএসপিগুলি গ্রাহকের অ্যাক্সেস সরবরাহের পরিবর্তে ট্রানজিটের পরিবর্তে) সম্বোধন করতে পারে। এটি করার দুটি প্রধান পদ্ধতি রয়েছে:

1. ইনগ্রেস ফিল্টারিং - আপনার নেটওয়ার্কে আগত প্যাকেটগুলি নিশ্চিত হওয়া ঠিকানাগুলির রেঞ্জগুলি থেকে আগত ইন্টারফেসের সুদূর পাশে বাস করা। অনেক রাউটার বিক্রেতারা ইউনিকাস্ট রিভার্স পাথ ফরওয়ার্ডিংয়ের মতো বৈশিষ্ট্যগুলি প্রয়োগ করে , যা আগত প্যাকেটের উত্সের ঠিকানার পরবর্তী হ্যাপটি আগত ইন্টারফেস কিনা তা যাচাই করতে রাউটারের রাউটিং এবং ফরোয়ার্ডিং টেবিলগুলি ব্যবহার করে। এটি নেটওয়ার্কে প্রথম স্তরের 3 হ্যাপে সর্বোত্তমভাবে সঞ্চালিত হয় (যেমন আপনার ডিফল্ট গেটওয়ে)

2. এগ্রেস ফিল্টারিং - আপনার নেটওয়ার্কের ঠিকানা থেকে আপনার নেটওয়ার্ক কেবলমাত্র উত্স ছেড়ে দেয় তা নিশ্চিত করে। ফিল্টারিংয়ের জন্য এটি প্রাকৃতিক পরিপূরক এবং এটি 'ভাল প্রতিবেশী' হওয়ার মূলত অংশ; আপনার নেটওয়ার্কটি দূষিত ট্র্যাফিকের দ্বারা আপস করা হলেও তা নিশ্চিত করে যে আপনি যে নেটওয়ার্কগুলির সাথে সমীচীন হন সেই ট্র্যাফিকগুলি ফরোয়ার্ড করা হয়নি।

এই উভয় কৌশলই সবচেয়ে কার্যকর এবং সহজেই প্রয়োগ করা হয় যখন 'এজ' বা 'অ্যাক্সেস' নেটওয়ার্কগুলিতে করা হয়, যেখানে ক্লায়েন্টরা সরবরাহকারীর সাথে ইন্টারফেস করে। একাধিক পাথ এবং অ্যাসিমেট্রিক রাউটিংয়ের জটিলতার কারণে অ্যাক্সেস লেয়ারের উপরে এনগ্রেশন / এড্রেস ফিল্টারিং প্রয়োগ করা আরও কঠিন হয়ে পড়ে।

আমি এন্টারপ্রাইজ নেটওয়ার্কের মধ্যে দুর্দান্ত কৌশলগুলির জন্য ব্যবহৃত এই কৌশলগুলি (বিশেষত ইনগ্রেশন ফিল্টারিং) দেখেছি। সম্ভবত আরও পরিষেবা সরবরাহকারীর অভিজ্ঞতার সাথে ইন্টারনেটে ইনগ্রেশন / এড্রেস ফিল্টারিং মোতায়েন করার চ্যালেঞ্জগুলি আরও অন্তর্দৃষ্টি দিতে পারে। আমি কল্পনা করেছি যে হার্ডওয়্যার / ফার্মওয়্যার সমর্থন একটি বড় চ্যালেঞ্জ হতে পারে, পাশাপাশি অন্যান্য দেশে উজানের সরবরাহকারীদের অনুরূপ নীতিমালা প্রয়োগ করতে বাধ্য করতে না পারায় ...

আক্রমণভাগের পক্ষে বুনো কোনও আইপি ঠিকানা জাল করা কি এত সহজ?

অবশ্যই, আমি যদি আসলে কোনও প্রতিক্রিয়া পাওয়ার বিষয়ে চিন্তা না করি তবে আমি খুব সহজেই আমার পছন্দ মতো কোনও উত্স ঠিকানা ব্যবহার করে প্যাকেটগুলি প্রেরণ করতে পারি। যেহেতু অনেকগুলি আইএসপি-তে সত্যই ভাল অ্যাড্রেস বিধি থাকে না, তাই আমি সাধারণত যে কোনও কিছু তৈরি করি তা সরবরাহ করা হবে।

যদি আক্রমণকারীটির আসলে দ্বিমুখী যোগাযোগের প্রয়োজন হয় তবে এটি খুব কঠিন হয়ে যায়। যদি তাদের দ্বিমুখী যোগাযোগের প্রয়োজন হয় তবে এটি কোনও প্রকারের প্রক্সি ব্যবহার করা সহজতর হয়। আপনি কী করছেন তা যদি জানেন তবে সেট আপ করা খুব সহজ।

আইপি ঠিকানার মাধ্যমে লোকেদের নিষিদ্ধ করা এসএফ / এসও / এসইউর উপর মাঝারি কার্যকর কারণ সাইটটি http / https ব্যবহার করে যার দ্বিপথে যোগাযোগের প্রয়োজন।

জোরডেচের উত্তর (উবুন্টু সহ) এর জন্য ধারণার সামান্য প্রমাণ:

$ sudo apt-get install hping3
$ sudo hping3 -1 --spoof 11.10.10.20 www.google.com
HPING www.google.com (eth0 64.233.169.105): icmp mode set, 28 headers + 0 data bytes

তারপরে অন্য কনসোলে:

$ sudo tcpdump -i eth0 'icmp'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
13:30:19.439737 IP 11.10.10.20 > yo-in-f105.1e100.net: ICMP echo request, id 31297, seq 0, length 8

সুতরাং হ্যাঁ, তুচ্ছ, তবে আপনি যদি আগে 11.10.10.20 এ অ্যাক্সেস না পেয়ে থাকেন বা www.google.com এবং 11.10.10.20 এর মধ্যে কোথাও একটি স্নিফার না পেয়ে থাকেন তবে জবাবগুলি আগেই উল্লিখিত হিসাবে পাবেন না (এবং এটি ঠিক সামনে থাকা দরকার উভয় প্রান্তে, যেহেতু আপনি প্যাকেটের রুটের পূর্বাভাস দিতে পারবেন না)। এছাড়াও, স্পুফার গেটওয়ে (আইএসপি) যদি কোনও আইপি পরিদর্শন চলতে থাকে এবং দেখতে যে উত্সটি খারাপ গন্ধ পাচ্ছে তা যদি সেই প্যাকেটটি দরজাটি বাইরে না দেয়।

আইপি ঠিকানাগুলি এক-দিকনির্দেশক ইউডিপি ট্র্যাফিকের জন্য জালিয়াতি করা সহজ । টিসিপি প্যাকেটের জন্য, আপনি কেবল এসওয়াইএন প্যাকেটগুলির সাথে অর্ধ-খোলা টিসিপি সংযোগ পেতে জালিয়াতি করতে পারেন। এটিও এক ধরণের ডস আক্রমণের ভিত্তি। তবে আপনি কোনও ছদ্মবেশী ঠিকানার সাথে এইচটিটিপি সংযোগটি নকল করতে পারবেন না (উদাহরণস্বরূপ, আপনি যদি একই আইপি ঠিকানা ব্যবহারের জন্য সেশনগুলি ফিল্টার করছেন)। হ্যাঁ, আপনি প্যাকেটগুলিতে একটি আইপি ঠিকানা ছদ্মবেশী করতে পারেন, এটি কেবল নির্দিষ্ট ধরণের পরিষেবা আক্রমণ অস্বীকারের জন্য কার্যকর useful

গুগু নিবন্ধটি স্পষ্টভাবে ডিএনএস নিয়ে আলোচনা করছিল। ডিএনএস ইউডিপি এবং টিসিপি উভয়ই প্যাকেট ব্যবহার করে। ইউডিপিগুলি নকল হতে পারে, তবে টিসিপি নয় CP টিসিপির জন্য একটি 3 উপায় হ্যান্ডশেক দরকার । যদি কোনও টিসিপি প্যাকেটের আইপি ঠিকানা নকল হয় তবে ফরজিং কম্পিউটারটি প্রতিক্রিয়া গ্রহণ করবে না এবং সংযোগ ব্যর্থ হবে। অন্যান্য উত্তর হিসাবে উল্লিখিত ইউডিপি হ'ল 'আগুন এবং ভুলে যাও' এবং এর কোনও প্রতিক্রিয়া যোগাযোগের প্রয়োজন নেই। এই কারণে ইউএসডি প্যাকেটের আকারে ডস-এর আক্রমণগুলি প্রায় একচেটিয়াভাবে আসে।

স্ট্যাক ওভারফ্লো এবং পারিবারিক সাইটগুলির প্রসঙ্গে, টাকুন দাইকন উত্থাপিত বিষয়টি খুব বৈধ। কারও আইএসপি থেকে নতুন আইপি ঠিকানা পাওয়ার অনেকগুলি উপায় রয়েছে। একটি ম্যাক ঠিকানা পরিবর্তন করা স্পষ্টভাবে সবচেয়ে সহজ এবং অনেকগুলি আইএসপি-র জন্য কাজ করে। তদ্ব্যতীত, অনেক লোকেরা যারা বোকামি পোষণ করে তারা পাবলিক প্রক্সি বা টিওআর ব্যবহার করতে পারে। স্পষ্টভাবে এই প্যাকেটগুলির জন্য অরিজিনেশন আইপি ব্লক করা কেবল প্রক্সি বা টিওআর সমাপ্তি নোডকে ব্লক করবে।

তাহলে কি আইপি ঠিকানাগুলি ব্লক করা বৈধ? হ্যাঁ হ্যাঁ তবে আপনি ত্রুটিগুলি শেষ করবেন। আপনি এমন কিছু আইপি ব্লক করবেন যা প্রকৃতপক্ষে সমস্যার উত্স নয় (যেমন প্রক্সিগুলি) এবং আপনার আইপি পরিবর্তন করে লোকেরা আপনার ব্লকগুলি এড়িয়ে চলবে। নিষিদ্ধ আইপি পরে পাওয়ার জন্য যথেষ্ট দুর্ভাগ্য ব্যক্তি সেই সাইটের এসও পরিবার অ্যাক্সেস করতে পারবেন না। তবে ত্রুটির হার কম হওয়া উচিত। আপনি যদি না আইপি বিশাল সেট অবরুদ্ধ করা হয়। তবে আপনি যদি দিনে এক বা দুটি অবরুদ্ধ করে থাকেন তবে আপনার ভাল হওয়া উচিত।

আপনি যেখানে ব্লক করেন সেখানে কিছুটা পরিশীলিত স্কিম প্রবর্তন করতে পারেন, তবে কেবলমাত্র এক বছরের মতো। যদি আপনার নেটওয়ার্ক ব্যান্ডউইথ থ্রোটলিং বা সংযোগ সীমাবদ্ধ করতে সক্ষম হয় তবে আপনি এমন একটি পরিকল্পনাও বিবেচনা করতে পারেন যেখানে আপনার সাইটে অ্যাপাচি বেঞ্চমার্কগুলি চালিত ডুচে ব্যাগগুলি খুব সীমিত ব্যান্ডউইথের সাথে খাঁচায় রাখে।

আইপি স্পুফিং চলতে থাকবে কারণ আইএসপিগুলি অলস।

আমার আইএসপি নিন্দিতভাবে জানে যে আমি একটি নির্দিষ্ট ঠিকানায় আছি বা কমপক্ষে আমি যে সাবনেট করছি I'm তবুও আমি কোনও উত্সের ঠিকানা ব্যবহার করতে পারি। তা কেন? সহজভাবে, ব্যয়।

আমি যদি এখানে এবং সেখানে কয়েকটি ঠিকানা নকল করি তবে এটির জন্য আমার আইএসপি-র কোনও মূল্য নেই। আমার আইএসপি-র প্রতিটি ব্যবহারকারী যদি 1:00 থেকে 2:00 এর মধ্যে একটি প্যাকেট নকল করেন তবে এটি রাডারটিতে খুব কমই ঝাপটায়। তবে, যখন একটি বোটনেট অনেক হোস্টের কাছ থেকে অনেক আইএসপি-তে বহু স্পুফ প্যাকেট প্রেরণ করে, লক্ষ্য মেশিন বা নেটওয়ার্ক পড়ে যায়।

আর্থিক বাস্তবতা হ'ল আপনি যদি আক্রমণকারী না হন তবে স্পোফিংয়ের জন্য কোনও মূল্য নেই। গ্রাহকের কাছাকাছি ফিল্টারিং বাস্তবায়নের জন্য এটি অর্থ ব্যয় করে এবং যে টাকা ব্যয় করে তারা খুব ভাল নেটওয়ার্ক নাগরিক তা জেনে অন্য কিছুটা খুব কম রিটার্ন বুঝতে পারে।

ইউডিপি এবং আইসিএমপি নকল করা সহজ, তবে টিসিপিও সম্ভব। এটির জন্য একটি অনিরাপদ রিমোট ওএস দরকার যা শোষণের জন্য অনুমানযোগ্য ক্রম সংখ্যা ব্যবহার করে। কখনও কখনও এটি লোড ব্যালেন্সিং মেশিনগুলি থাকে যা ক্রম সংখ্যাগুলি পরিবর্তন করে এবং ভবিষ্যদ্বাণী করতে সক্ষম করে। সুতরাং, টিসিপি সম্ভব - তবে আরও শক্ত।

ডিএনএস-অ্যান্টি-স্পুফিং বেশিরভাগ ক্ষেত্রে পুনরাবৃত্তাকারী সমাধানকারীকে কোনও মিথ্যা উত্তর জমা দিতে বাধা দেওয়ার সুরক্ষার দিকে মনোনিবেশ করে। ইউডিপির বন্যার দিকগুলি ডিএনএস নির্দিষ্ট কোনও একক কোয়েরি ব্যতীত নির্দিষ্ট নয় (যেমন, '।' এর জন্য) এর পরিবর্তে বৃহত্তর প্রতিক্রিয়া সৃষ্টি করবে। সুতরাং, এটি একটি দুর্দান্ত পরিবর্ধক ভেক্টর তৈরি করে। সেখানে অনেকগুলি ইউডিপি প্রোটোকল রয়েছে যা কাজ করে, তবে ডিএনএস সর্বত্র ব্যবহৃত হয় এবং আক্রমণকে প্রশস্ত করতে মেশিনগুলি খুঁজে পাওয়া সহজ।

ইউএনপি প্যাকেটগুলি 4k আকারে পৌঁছাতে পারে এমন DNSSEC এটিকে আরও খারাপ করে।

আইপি অ্যাড্রেসগুলি ডিএনএস-ভিত্তিক (ডি) ডস আক্রমণের জন্য যতটা না জালিয়াতির জন্য তুচ্ছ, কারণ এগুলি সাধারণত আগুন এবং ভুলে যাওয়া ইউডিপি প্যাকেটের ঘটনা। এইচটিটিপি ট্র্যাফিকের ক্ষেত্রে, এটি ঘটনাটি নয়, তাই আপনাকে ওয়েব সার্ভারের মতো একই স্থানীয় নেটওয়ার্কে থাকা প্রয়োজন (পুরোপুরি সম্ভব, অবশ্যই আপনার সাইটটি হোস্ট করা হয়েছে তার উপর নির্ভর করে), বা মধ্যবর্তী রাউটারগুলি নিয়ন্ত্রণ করতে হবে।

আপনি যে কাউকে একটি চিঠি পাঠাতে পারেন, এবং যদি আপনি খামে কোনও ফেরতের ঠিকানা না রাখেন (বা ভুলটি লিখে রাখেন) তবে তারা বিশ্বের সমস্ত জাঙ্ক মেল ফিল্টারার নিয়োগ করতে পারে এবং আপনার বার্তাটি খোলা ছাড়াই ফিল্টার না করে (প্রক্রিয়াজাতকরণ) ) এটি।

তবে প্রেরক যদি কোনও প্রতিক্রিয়া চান তবে রিটার্নের ঠিকানাটি আরও ভালভাবে সঠিক হতে হবে, বা সঠিক ঠিকানা পাওয়ার জন্য অ্যাপ্লিকেশন স্তর ব্যবস্থা থাকতে হবে। সুতরাং আমি আপনাকে ভাবতে পারি যে আপনি নানার কাছ থেকে একটি চিঠি খুলছেন, তবে আমি যদি চিঠির বিষয়বস্তু নিয়ে আপনাকে বোকা বানাও, তবে আপনি নানাকে নাইজেরিয়ার কোনও ঠিকানায় ক্যাশকে তৈরি করা একটি চেক প্রেরণ করতে যাচ্ছেন না (যদি না নানিয়া নাইজেরিয়ান না হয় )। সুতরাং চ্যালেঞ্জ / প্রতিক্রিয়া ততক্ষণ কার্যকর প্রতিরক্ষা, যতক্ষণ না আপনি মিডলড ম্যানও হন না।

আমি ডেটাগ্রামে যা কিছু উত্সের আইপি ঠিকানা চাই সেট করতে পারি।
আমার আইএসপি এই জাতীয় প্যাকেটটিকে বন্যের মধ্যে ফেলে দেবে কিনা তা অন্য প্রশ্ন।

যদিও এটি অবশ্যই বাস্তবতার সাথে মোকাবিলা করা দরকার, তবে অন্তর্নিহিত সমস্যাটি সত্যই প্রযুক্তিগত নয়: দূষিত উদ্দেশ্য নিয়ে লোকেরা দূষিত জিনিসগুলি করার চেষ্টা করছে। আসল সমাধানটি অবশ্যই অ প্রযুক্তিগত হতে হবে।

আমি মনে করি স্ট্যাকওভারফ্লো যা করেছে তা হ'ল প্রতিরক্ষা দ্বিতীয় লাইনটি পরিচালনা করার সঠিক সমাধান: সম্ভাব্য স্প্যাম ব্যবহারকারীদের কিছুটা 'বিশ্বাসযোগ্যতা' অর্জনের পূর্বে প্ল্যাটফর্মের সাথে যোগাযোগের জন্য তাদের ক্ষমতা সীমাবদ্ধ করার বিভিন্ন উপায়ের মাধ্যমে সীমাবদ্ধ করার কৌশলগুলি।

এই কৌশলগুলি কেবল সাইটের সামগ্রিক মানের উন্নতি করতে সহায়তা করে না, তারা প্রকৃতপক্ষে ব্যবহারকারীদের আরও জড়িত হতে এবং আরও বিশ্বাসযোগ্য / নির্ভরযোগ্য উত্তর সরবরাহ করতে উত্সাহ দেয়।

প্রযুক্তিগত দৃষ্টিকোণ থেকে, গুগলের পরামর্শ অনুসারে করণীয় সর্বোত্তম কাজ হ'ল অতিরিক্ত বোঝা শোষন / পরিচালনা করার ক্ষেত্রে কেবল দক্ষ হয়ে উঠুন।

দুর্দান্ত কাজ এবং উন্নতি চালিয়ে যান!

ইউডিপি কেন এটি সহজ - এর মূল অংশ - বাস্তবে স্কাইপ এবং স্লিংবক্স ইউডিপিতে আইপি অ্যাড্রেসগুলি সহজেই এনএটির মাধ্যমে ' পাঞ্চ ' করতে এবং সহজে পিয়ার-টু-পিয়ারের অনুমতি দেওয়ার সুযোগটি কাজে লাগায় ।

টিসিপি আরও কঠিন কারণ এটিতে একটি সম্পূর্ণ এসওয়াইএন / এসি কে চক্র প্রয়োজন, তবে আপনি এখনও হ্যাং এসওয়াইএন প্যাকেটগুলি সহ সার্ভারকে প্লাবন করতে পারেন যা আইপি অ্যাড্রেসগুলিতে অনেকগুলি দূরে চলে যায় এবং প্রয়োজনীয়ভাবে প্রক্রিয়াটিতে বিশাল সংখ্যক রাউটার বেঁধে রাখতে পারে।

উপরে উল্লিখিত হিসাবে, প্রক্সিগুলি ব্যবহার করা তুচ্ছ এবং এখানে প্রচুর পরিমাণে খোলা বেনামে প্রক্সি পাওয়া যায়।

এমনকি প্রক্সি ব্যবহার না করেই, আমি আমার ফায়ারওয়ালে ম্যাক ঠিকানাটি কোনও নতুন স্বেচ্ছাচারিত মানতে সেট করতে পারি, আমার কেবল মডেমটি পুনরায় সেট করতে পারি এবং আমার আইএসপি আমাকে একটি ব্র্যান্ডের নতুন চকচকে আইপি ঠিকানা বরাদ্দ করবে।

এবং এটি কেবল শুরুগুলির জন্য। আইপি নিষেধাজ্ঞার আশেপাশের আরও অনেক উপায় রয়েছে।

যদি তা হয়, তবে কোন প্রশমনগুলি সম্ভব?

আপনি গ্রহণের পক্ষে খুব বেশি কিছু করতে পারবেন না।

ফরজারের আইএসপিটি তাদের বহির্মুখী ট্র্যাফিক ফিল্টার করা উচিত যাতে এর গ্রাহকরা বিভিন্ন নেটওয়ার্ক থেকে আইপি ফাঁকি করতে না পারে।

এটি রাউটার কনফিগারে কেবল কয়েকটি লাইন তাই এটি না করার জন্য কোনও ভাল অজুহাত নেই।

আক্রমণকারীকে ট্র্যাক করার একটি উপায় রয়েছে তবে এটির জন্য আপনার প্রবাহের সরবরাহকারীর সংযোগ প্রয়োজন: http://www.cymru.com/ ডকুমেন্টস / ডস- এবং ভিআইপি html

অন্যরা যেমন উল্লেখ করেছে, ইউডিপি ফোরজ করার পক্ষে বেশ তুচ্ছ, টিসিপি তেমন কিছু নয়।

পছন্দসই প্রতিরক্ষা, তবে দুর্ভাগ্যক্রমে সর্বজনীনভাবে মোতায়েন নয়, হ'ল অ্যাড্রেস ফিল্টার।

আইএসপিগুলি ডিএসএল ইত্যাদি পরিষেবাদিগুলির জন্য, প্রতিটি ভার্চুয়াল লাইনটি কনফিগার করা উচিত ip verify unicast reverse-path(বা যেহেতু নন-সিসকো সমতুল্য হ'ল) ​​যা কোনও প্যাকেটকে ব্লক করে যার উত্সের আইপি ঠিকানাটি সেই লাইনটি রাউটেড বলে পরিচিত রেঞ্জগুলিতে নেই।

আমি মনে করতে পারি 90 এর দশকের শেষের দিকে সম্ভবত ভিজ্যুয়াল বেসিকটি দিয়ে সকেট প্রোগ্রামিং করা হয়েছিল এবং আমরা আমাদের সংযোগে উত্স আইপি সেট করতে পারি। আমার অস্পষ্টভাবে মনে আছে যে আমরা যখন এটি চেষ্টা করেছি, নেটস্প্যাট-প্রকৃত উত্স আইপি দেখিয়েছে, তবে অ্যাপাচি লগগুলি স্পুফড আইপি দেখিয়েছে; এবং আমি মনে করি আপাচি স্প্ল্যাফড আইপি পার্ল মডিউলগুলিতেও হস্তান্তর করছিল।