> Потому, что иногда, например, используется BGP. Или хитрые схемы с маршрутизируемыми сегментами
> в клиентском пользовании (к примеру, когда клиент хочет себе /27, ему
> выделяется эта /27 целиком, и вся целиком маршрутизируется на роутер клиента). Защита от спуфа не на входящем, а на исходящем трафике. Например, захотел клиент
себе /27 - получил /27. Только вот провайдер очень легко может настроить роутер так,
что от этого клиента будут приниматься пакеты только из выделенной ему /27 подсети,
а все остальное будет дропаться прямо на маршрутизаторе.
Аналогично и все остальные клиенты - они имеют право
отправлять трафик в сеть только со своего IP. Кому это мешает?
BGP - это между автономными системами, разговор как раз о том,
чтобы внутри автономной системы "давить" весь траффик с поддельными IP отправителя.
Каждый провайдер знает какие IP принадлежат его AS и может легко фильтровать спуф.
> А вообще - в данной новости разговор идет не о тех хостах,
> которые использовали спуф,
Именно о них и идет речь в первую очередь. Если бы не было возможности использовать спуф -
такая DDoS-атака в 400 Гбит/с была бы просто теоретически и практически невозможной.
> а о тех, которые имели у себя дырявые NTP
> и там даже при полной защите acl, ip source binding
> и прочих L2<->L3 защитах ничего не спасает в связи с полной
> легитимностью подобного трафика на этих уровнях
Криво настроенные NTP - это уже вторичная причина.
вместо NTP могут использовать DNS, SNMP и десятки других протоколов.
Первопричина проблем - это именно IP Source Address Spoofing.
Средство решения этой проблем:
https://tools.ietf.org/html/bcp38
https://tools.ietf.org/html/bcp84
Надо внедрять, других способов нет.
