Saya membaca beberapa catatan tentang layanan DNS publik baru Google :
Saya perhatikan di bawah bagian keamanan paragraf ini:
Sampai solusi standar seluruh sistem untuk kerentanan DNS diimplementasikan secara universal, seperti protokol DNSSEC2, resolver DNS yang terbuka perlu secara mandiri mengambil beberapa langkah untuk mengurangi ancaman yang diketahui. Banyak teknik telah diusulkan; lihat IETF RFC 4542: Langkah-langkah untuk membuat DNS lebih tangguh terhadap jawaban yang dipalsukan untuk gambaran umum sebagian besar dari mereka. Di Google Public DNS, kami telah menerapkan, dan kami menyarankan, pendekatan berikut:
- Menyediakan sumber daya mesin secara berlebihan untuk melindungi terhadap serangan DoS langsung pada resolver itu sendiri. Karena alamat IP sepele bagi penyerang untuk memalsunya, mustahil untuk memblokir kueri berdasarkan alamat IP atau subnet; satu-satunya cara efektif untuk menangani serangan semacam itu adalah dengan hanya menyerap beban.
Itu adalah realisasi yang menyedihkan; bahkan pada Stack Overflow / Server Fault / Super User, kami sering menggunakan alamat IP sebagai dasar untuk semua jenis blok dan pemblokiran.
Menganggap penyerang "berbakat" sepele bisa menggunakan alamat IP apa pun yang mereka inginkan, dan mensintesis sebanyak mungkin alamat IP palsu yang mereka inginkan, benar-benar menakutkan!
Jadi pertanyaan saya:
- Apakah benar - benar mudah bagi penyerang untuk memalsukan alamat IP di alam liar?
- Jika ya, mitigasi apa yang mungkin dilakukan?