Dạng đơn giản nhất mà một Filtering Router cĩ thể thực hiện là việc lọc các Packet dựa tên địa chỉ. Lọc các Packet theo dạng này cho phép chúng ta điều khiển dữ liệu dựa trên địa chỉ máy gửi và địa chỉ máy nhận Packet mà khơng quan tâm
đến nghi thức nào đang được sử dụng. Khả năng lọc gĩi theo dạng này cĩ thểđược dùng để cho phép một số máy nào đĩ ở bên ngồi cĩ thể trao đổi dữ liệu với một số
máy nào đĩ ở trong mạng cần bảo vệ, hoặc cũng cĩ thể bảo vệ được những dạng
đánh lừa thơng tin trong Packet (những Packet xuất phát từ Internet (bên ngồi) mà cĩ địa chỉ máy gửi lại là địa chỉ máy ở trong mạng mạng bảo vệ.
Những rủi ro của việc lọc dựa trên địa chỉ máy gửi:
Thơng tin ở mỗi Packet header cĩ chứa địa chỉ nguồn của máy gửi Packet (khơng nên tin tưởng hồn tồn vào thơng tin này do việc địa chỉ máy gửi cĩ thể bị
giả mạo). Trừ khi chúng ta sử dụng những kỹ thuật chứng thực như (cryptographic authentication) giữa hai máy trao đổi dữ liệu cho nhau, chúng ta thực sự khơng thể
biết chắc chắn rằng máy mà chúng ta đang trao đổi dữ liệu với nĩ thực sự chính nĩ hay một máy khác giả danh máy này (giống như lấy địa chỉ của một người khác để
gửi thư đi). Qui tắc lọc ở trên chỉ loại trừ khả năng một máy bên ngồi giả mạo thành một máy bên trong, nĩ khơng phát hiện được việc một máy bên ngồi giả
mạo địa chỉ của một máy bên ngồi khác.
Do đĩ, người tấn cơng cĩ thể cĩ hai dạng tấn cơng dựa trên việc giả mạo địa chỉ là : giả mạo địa chỉ máy gửi “source address” và “man in the middle”.
− Dạng tấn cơng giả danh cơ bản nhất là sự giả mạo địa chỉ máy gửi (source address), người tấn cơng sẽ gửi dữ liệu cho chúng ta mà sử dụng địa chỉ máy gửi khơng phải là địa chỉ máy của họ, thường họ sẽ đốn một số địa chỉ mà hệ thống của chúng ta tin tưởng, sau đĩ họ sẽ sử dụng địa chỉ này như là địa chỉ máy gửi với hy vọng rằng chúng ta sẽ cho những Packet họđã gửi đi vào mạng của chúng ta, và cũng khơng mong chờ những Packet kết quả trả lời từ những máy trong hệ thống mạng của chúng ta. Nếu người tấn cơng khơng quan tâm đến việc nhận những Packet trả về từ hệ thống của chúng ta, thì khơng cần thiết họ phải ở trong lộ trình giữa chúng ta và hệ thống bị họ giả danh, họ cĩ thểở bất cứ nơi đâu.
Trong thực tế, những Packet trả lời từ hệ thống của chúng ta sẽ gửi đến những máy (những máy này người tấn cơng vào hệ thống của chúng ta đã sử dụng địa chỉ
nếu người tấn cơng cĩ thểđốn được những đáp ứng từ hệ thống của chúng ta thì họ
khơng cần phải nhận được những Packet này. Cĩ khá nhiều nghi thức (Protocol) mà
đối với những người tấn cơng hiểu biết sâu thì việc đốn những đáp ứng từ hệ thống của chúng ta khơng mấy khĩ khăn. Cĩ nhiều dạng tấn cơng kiểu này cĩ thể được thực hiện mà người tấn cơng khơng cần nhận được những Packet trả lời trực tiếp từ
hệ thống của chúng ta. Một Ví Dụ cho thấy điều này là người tấn cơng cĩ thể gửi cho hệ thơng của chúng ta một lệnh nào đĩ, mà kết quả là hệ thống của chúng ta gửi cho người tấn cơng password file của hệ thống chúng ta. Bằng cách này thì người tấn cơng khơng cần nhận được trực tiếp những Packet trả lời từ hệ thống chúng ta.
Trong một số trường hợp, đối với nghi thức cĩ kết nối như TCP, máy nguồn thực sự (máy mà người tấn cơng lấy địa chỉ để giả danh) sẽ phản hồi lại những Packet mà hệ thống của chúng ta gửi cho họ (những Packet mà hệ thống chúng ta trả lời cho những Packet của người tấn cơng) dẫn đến kết quả là những kết nối hiện hành giữ máy của chúng ta với máy người tấn cơng cĩ thể bị reset. Dĩ nhiên là người tấn cơng khơng muốn điều này xảy ra. Người tấn cơng muốn thực hiện việc tấn cơng hồn thành trước khi máy bị giả danh nhận được Packet mà chúng ta gửi trước khi chúng ta nhận reset Packet từ máy bị giả danh này. Người tấn cơng cĩ thể
cĩ nhiều cách để thực hiện được điều này:
+ Thực hiện việc tấn cơng trong khi máy bị giả danh đã tắt. + Làm cho máy bị giả danh treo khi thực hiện tấn cơng.
+ Gây lũ (flooding) dữ liệu ở máy giả danh khi thực hiện tấn cơng.
+ Làm sai lệch thơng tin về đường đi (routing) giữa máy gửi và máy nhận thực sự.
+ Tấn cơng vào những dịch vụ chỉ cần gửi một Packet là cĩ thể gây tác động mà vấn đề reset khơng bịảnh hưởng.
− Dạng tấn cơng thứ hai là “man in the middle” kiểu tấn cơng này người tấn cơng cần cĩ khả năng thực hiện đầy đủ một quá trình trao đổi dữ liệu trong khi anh ta giả danh địa chỉ của máy khác. Để thực hiện được điều này người tấn cơng, máy mà người tấn cơng sử dụng khơng những gửi những Packet cho hệ thống của chúng
ta mà cịn mong muốn nhận được những Packet trả lời từ hệ thống cuả chúng ta. Để
thực hiện được điều này người tấn cơng phải thực hiện một trong hai việc sau: + Máy người tấn cơng ở trên đường đi giữa hệ thống chúng ta và hệ thống bị
giả danh. Trường hợp dễ thực hiện nhất là ở gần máy của hệ thống chúng ta hoặc ở
gần máy bị giả danh, và trường hợp gần như khĩ nhất là ở giữa trong lộ trình đường
đi bởi vì trong mạng IP lộ trình đường đi của Packet cĩ thể thay đổi đặc biệt là các máy ở giữa lộ trình cĩ thể cĩ lúc đi qua cĩ thể khơng.
+ Thay đổi đường đi giữa máy gửi và máy nhận thực sựđể nĩ đi qua máy của người tấn cơng. Điều này cĩ thể thực hiện được dễ dàng hoặc khĩ khăn tùy theo topology của mạng và hệ thống routing của các mạng liên quan.