如何通过DoS中的绑定/传输地址耗尽来减轻NAT64？

Question

假设一个NAT64路由器只有一个用于绑定的IPv4地址，这意味着NAT64路由器大约有65535个IPv4传输地址。然后，恶意攻击者可以通过对IPv4路由器另一端的网络执行65535请求，利用伪造的源IPv6传输地址(IP和端口)耗尽整个IPv6传输地址空间。

我怎样才能减轻/预测这种情况呢？

Answer 1

假设一个NAT64路由器只有一个用于绑定的IPv4地址，这意味着NAT64路由器大约有65535个传输地址。

这根本不是事实。传输地址是每个协议(TCP端口12345不是UDP端口12345)，NAT表实际上使用源和目的地IP以及源和目的地传输地址。对于每个协议可能的表条目，您有很多次65,535个地址组合。

然后，恶意攻击者可以通过向IPv4的另一端网络执行65535请求来耗尽整个NAT64传输地址空间。

这是不真实的。攻击者不太可能耗尽所有可能的地址组合。您需要担心的是表资源。NAT设备将为NAT表提供有限数量的RAM ( TCP、UDP和ICMP各有一个表)。为NAT64设置的设备将拥有比普通路由器多得多的内存，但是仍然有一个限制，表空间可以耗尽，但是表条目也会有一个超时。这比你想象的要小得多。