Hezký den,
vámi navrhované řešení podle mě není moc vhodné, jelikož vaše řešení spíše nahrává útočníkovi. Tím, že by se odstranily nejstarší záznamy se totiž odstraní i validní záznamy z NC. Útočník, pokud generuje stále nové a nové pakety, je pak de facto schopen zaplnit celou NC vlastními záznami a odstranit všechny validní, které tam byly.
Ta myšlenka má něco do sebe. Při zaplnění cache začít procházet záznamy a pokud nepřijde odpověď na ping, tak bez milosti zahodit záznam, jinak prodloužit na maximum... Jednak se uvomní neaktuální záznamy, druhak tam při přetečení zůstane zdravý jádro. Sice to nemusí být všelék, ale moc by to pokazit nemělo.
Ano i ne. Útočník na ping může odpovídat naprosto stejně jako validní zařízení. On v principu tento problém nemá moc řešení a musí se dohledat ono "škodící" zařízení a odpojit ho, nebo ho nějak jinak opravit (často tyto útoky provádí různý malware). Občas zařízení nicméně používají strategii - když je cache plná, zařízení ji kompletně celou smaže a pokračuje se s prázdnou cache od začátku. Ale záleží na implementaci - typicky tyto optimalizace moc implementované nejsou.
Tohle řešení ale tu cache zase velmi rychle zaplní platnými daty, když útok skončí (on totiž útočník může úplně stejně zahltit síť třeba broadcast pingem a o žádnou cache se starat nemusí). Což mi přijde jako mnohem lepší řešení, než když cache zůstane zaplněná nesmyslnými záznamy útočníka.
