Google의 새로운 퍼블릭 DNS 서비스 에 대한 참고 사항을 읽고있었습니다 .
보안 섹션에서이 단락을 발견했습니다.
DNSSEC2 프로토콜과 같은 DNS 취약성에 대한 표준 시스템 전체 솔루션이 보편적으로 구현 될 때까지 공개 DNS 리졸버는 알려진 위협을 완화하기 위해 독립적으로 조치를 취해야합니다. 많은 기술들이 제안되었다; IETF RFC 4542 : 대부분의 개요에 대한 위조 된 응답 에 대해 DNS의 복원력을 높이기위한 측정 값을 참조하십시오 . Google 퍼블릭 DNS에서는 다음과 같은 접근 방식을 구현했으며 권장합니다.
그것은 우울한 깨달음입니다. 스택 오버플로 / 서버 오류 / 수퍼 유저에서도 모든 종류의 차단 및 차단의 기초로 IP 주소를 자주 사용합니다.
"talented"공격자가 원하는 IP 주소를 사소하게 사용하고 원하는만큼 고유 한 가짜 IP 주소를 합성 할 수 있다고 생각하는 것은 정말 무섭습니다!
그래서 내 질문 :
- 침입자가 실제로 IP 주소를 위조하는 것이 그렇게 쉬운가?
- 그렇다면 어떤 완화가 가능합니까?