Seguimos abaixo as regras do iptables que existem nas nossas caixas de front-end da web para evitar o IP Spoofing:
-A INPUT -s 255.0.0.0/8 -j LOG --log-prefix "Spoofed source IP"
-A INPUT -s 255.0.0.0/8 -j DROP
-A INPUT -s 0.0.0.0/8 -j LOG --log-prefix "Spoofed source IP"
-A INPUT -s 0.0.0.0/8 -j DROP
Queremos adicionar regras abaixo agora para reforçar ainda mais a prevenção contra IP Spoofing
-A INPUT -s 224.0.0.0/3 -j LOG --log-prefix "Spoofed source IP"
-A INPUT -s 255.0.0.0/8 -j DROP
-A INPUT –s 169.254.0.0/16 -j LOG --log-prefix "Spoofed source IP"
-A INPUT -s 169.254.0.0/16 -j DROP
-A INPUT –s 240.0.0.0/5 -j LOG --log-prefix "Spoofed source IP"
-A INPUT -s 240.0.0.0/5 -j DROP
Você sugere adicionar regras acima em uma caixa de produção executando o Apache httpd como um proxy reverso? Esta caixa de produção está por trás de um balanceador de carga F5.
Além disso, precisamos ativar os parâmetros abaixo do kernel para que as regras acima funcionem efetivamente?
net.ipv4.conf.all.rp_filter=1
net.ipv4.conf.all.log_martians=1
net.ipv4.conf.default.log_martians=1
O único problema que vejo nisso seria que, se uma solicitação de 240.0.0.0 WAS fosse legitimada, ela bloquearia, não permitindo que ela atingisse o servidor.
Com o IP Spoofing, é realmente difícil saber se é uma falsificação ou não, pois é possível gerar um endereço legítimo (falando como programador).
A única opção que seria mais "segura" seria apenas bloquear os endereços específicos que estão inundando seus servidores.