Dạng đơn giản nhất mà một Filtering Router có thể thực hiện là việc lọc các Packet dựa tên địa chỉ. Lọc các Packet theo dạng này cho phép chúng ta điều khiển dữ liệu dựa trên địa chỉ máy gửi và địa chỉ máy nhận Packet mà không quan tâm đến nghi thức nào đang được sử dụng. Khả năng lọc gói theo dạng này có thể được dùng để cho phép một số máy nào đó ở bên ngoài có thể trao đổi dữ liệu với một số máy nào đó ở trong mạng cần bảo vệ, hoặc cũng có thể bảo vệ được những dạng đánh lừa thông tin trong Packet (những Packet xuất phát từ Internet (bên ngoài) mà có địa chỉ máy gửi lại là địa chỉ máy ở trong mạng mạng bảo vệ.
Những rủi ro của việc lọc dựa trên địa chỉ máy gửi:
Thông tin ở mỗi Packet header có chứa địa chỉ nguồn của máy gửi Packet (không nên tin tưởng hoàn toàn vào thông tin này do việc địa chỉ máy gửi có thể bị giả mạo). Trừ khi chúng ta sử dụng những kỹ thuật chứng thực như (cryptographic authentication) giữa hai máy trao đổi dữ liệu cho nhau, chúng ta thực sự không thể biết chắc chắn rằng máy mà chúng ta đang trao đổi dữ liệu với nó thực sự chính nó hay một máy khác giả danh máy này (giống như lấy địa chỉ của một người khác để gửi thư đi). Qui tắc lọc ở trên chỉ loại trừ khả năng một máy bên ngoài giả mạo thành một máy bên trong, nó không phát hiện được việc một máy bên ngoài giả mạo địa chỉ của một máy bên ngoài khác.
Do đó, người tấn công có thể có hai dạng tấn công dựa trên việc giả mạo địa chỉ là : giả mạo địa chỉ máy gửi “source address” và “man in the middle”.
− Dạng tấn công giả danh cơ bản nhất là sự giả mạo địa chỉ máy gửi (source address), người tấn công sẽ gửi dữ liệu cho chúng ta mà sử dụng địa chỉ máy gửi không phải là địa chỉ máy của họ, thường họ sẽ đoán một số địa chỉ mà hệ thống của chúng ta tin tưởng, sau đó họ sẽ sử dụng địa chỉ này như là địa chỉ máy gửi với hy vọng rằng chúng ta sẽ cho những Packet họ đã gửi đi vào mạng của chúng ta, và cũng không mong chờ những Packet kết quả trả lời từ những máy trong hệ thống mạng của chúng ta. Nếu người tấn công không quan tâm đến việc nhận những Packet trả về từ hệ thống của chúng ta, thì không cần thiết họ phải ở trong lộ trình giữa chúng ta và hệ thống bị họ giả danh, họ có thể ở bất cứ nơi đâu.
Trong thực tế, những Packet trả lời từ hệ thống của chúng ta sẽ gửi đến những máy (những máy này người tấn công vào hệ thống của chúng ta đã sử dụng địa chỉ của họ), mà những Packet sẽ không gửi đến máy của người tấn công. Tuy nhiên, nếu người tấn công có thể đoán được những đáp ứng từ hệ thống của chúng ta thì họ không cần phải nhận được những Packet này. Có khá nhiều nghi thức (Protocol) mà đối với những người tấn công hiểu biết sâu thì việc đoán những đáp ứng từ hệ thống của chúng ta không mấy khó khăn. Có nhiều dạng tấn công kiểu này có thể được thực hiện mà người tấn công không cần nhận được những Packet trả lời trực tiếp từ hệ thống của chúng ta. Một Ví Dụ cho thấy điều này là người tấn công có thể gửi cho hệ thông của chúng ta một lệnh nào đó, mà kết quả là hệ thống của chúng ta gửi cho người tấn công password file của hệ thống chúng ta. Bằng cách này thì người tấn công không cần nhận được trực tiếp những Packet trả lời từ hệ thống chúng ta. Trong một số trường hợp, đối với nghi thức có kết nối như TCP, máy nguồn thực sự (máy mà người tấn công lấy địa chỉ để giả danh) sẽ phản hồi lại những Packet mà hệ thống của chúng ta gửi cho họ (những Packet mà hệ thống chúng ta trả lời cho những Packet của người tấn công) dẫn đến kết quả là những kết nối hiện hành giữ máy của chúng ta với máy người tấn công có thể bị reset. Dĩ nhiên là người tấn công không muốn điều này xảy ra. Người tấn công muốn thực hiện việc tấn công hoàn thành trước khi máy bị giả danh nhận được Packet mà chúng ta gửi trước khi chúng ta nhận reset Packet từ máy bị giả danh này. Người tấn công có thể có nhiều cách để thực hiện được điều này:
+ Thực hiện việc tấn công trong khi máy bị giả danh đã tắt. + Làm cho máy bị giả danh treo khi thực hiện tấn công.
+ Gây lũ (flooding) dữ liệu ở máy giả danh khi thực hiện tấn công.
+ Làm sai lệch thông tin về đường đi (routing) giữa máy gửi và máy nhận thực sự.
+ Tấn công vào những dịch vụ chỉ cần gửi một Packet là có thể gây tác động mà vấn đề reset không bị ảnh hưởng.
− Dạng tấn công thứ hai là “man in the middle” kiểu tấn công này người tấn công cần có khả năng thực hiện đầy đủ một quá trình trao đổi dữ liệu trong khi anh ta giả danh địa chỉ của máy khác. Để thực hiện được điều này người tấn công, máy mà người tấn công sử dụng không những gửi những Packet cho hệ thống của chúng ta mà còn mong muốn nhận được những Packet trả lời từ hệ thống cuả chúng ta. Để thực hiện được điều này người tấn công phải thực hiện một trong hai việc sau:
+ Máy người tấn công ở trên đường đi giữa hệ thống chúng ta và hệ thống bị giả danh. Trường hợp dễ thực hiện nhất là ở gần máy của hệ thống chúng ta hoặc ở gần máy bị giả danh, và trường hợp gần như khó nhất là ở giữa trong lộ trình đường đi bởi vì trong mạng IP lộ trình đường đi của Packet có thể thay đổi đặc biệt là các máy ở giữa lộ trình có thể có lúc đi qua có thể không.
+ Thay đổi đường đi giữa máy gửi và máy nhận thực sự để nó đi qua máy của người tấn công. Điều này có thể thực hiện được dễ dàng hoặc khó khăn tùy theo topology của mạng và hệ thống routing của các mạng liên quan.