Какова вероятность того, что интернет-провайдеры применяют фильтрование исходящих пакетов (egress filtering) с неправильным source address на каждой подсети? Другими словами, стоит ли при ip spoofing менять только биты, отвечающие за адрес хоста в подсети или же можно менять биты, отвечающие за адрес хоста в целой сети?
Думаю это внутри сети не используется, а снаружу обычно VPN, а там не подменишь так просто. (это все справедливо для Ehtrnet сети)
А какие могут возникнуть проблемы при отправке пакета с измененным source address через VPN-соединение?
я даже не знаю, как оценить эту величину... Например, у нас в локалке вся идентификация пользователей (надо же знать с кого деньги снимать за интернет, или кому по голове стучать за распространение какого-нибудь червя) основана на привязке на свитчах MAC-IP-порт -- дык ни о каком спуфинге речи не идёт.
Вот именно . Тут надо тунель строит на внешнюю в сети машину\хостинг. Либо обходить VPN безопасность. Хотя сразу скажу, что я не знаю как
У меня раньше через VPN было. сейчас перевели на PPPoE. Там вообще ниче нормально даже внутри локалки не поспуффишь...
В общих чертах, это выглядит так. Стоит шлюз, правила маршрутизации которого напрямую зависят от состояния счёта соответствующего ip адресу отправителя (там видать какие-то скрипты, переписывающие правила, по cron'у запускаются), и отдельных настроек, доступных пользователю, типа наличия реального ip. Шлюз работает с ip адресами вида 192.168.*.*, исходя из предположения, что ежели пришёл пакет с src_addr==192.168.0.1, то этот пакет именно c 192.168.0.1. Ну а соответствие этого предположения действительности, обеспечивается умными свитчами.