Добрый день, уважаемые участники форума. Прошу помочь советом .
У меня есть сайт в базу данных которого записываются активные токены после аутентификации. В базе содержится информация :
ID токена
Ключ токена
Активный токен или нет ( 0 или 1 )
И IP адрес с которого зашёл авторизованные пользователь.
Так же на сайте есть отдельный PHP скрипт, который работает сам по себе. Данный PHP скрипт перед началом работы делает запрос в базу данных основной сайта и сравнивает IP из базы данных с $_SERVER[‘REMOTE_ADDR’] и если они совпадает и есть активный токен с таким IP, тогда скрипт продолжает работу.
Вопрос: Получается, что решение запускать скрипт или нет идёт только на основании совпадения IP адреса . Насколько токая проверка надёжна и сложно ли подделать IP адрес в моём случае .
- Вопрос задан более года назад
- 331 просмотр
3 комментария
Простой 3 комментария
Источник: qna.habr.com
Как вычислить ip по ВК? Ip-адрес ВКонтакте
Легко ли подделать IP-адреса?
Конечно, если меня не волнует получение ответов, я могу легко посылать пакеты, используя любой адрес источника. Так как многие провайдеры не имеют хороших правил маршрутизации, все, что я подделаю, будет доставлено.
Если атакующему действительно нужна двусторонняя связь, это превращается в очень сложны й процесс . Если им нужна двусторонняя связь, то, как правило, проще просто использовать какой-нибудь прокси , к оторый очень легко настроить, если вы знаете, что делаете.
Запрет людей по IP-адресу умеренно эффективен на SF/SO/SU, поскольку сайт использует http/https, что требует двусторонней связи.
Ответ 3
DNS использует пакеты UDP и TCP. UDP можно подделать, но не TCP. TCP требует трехстороннего соединения. Если IP-адрес для TCP-пакета подделан, то подделывающий компьютер не получит ответ и соединение не установится. UDP, как уже упоминалось в других ответах, « выстрелил и забыл » и не требует ответной связи.
По этой причине DoS-атаки происходят почти исключительно в виде UDP-пакетов.
Есть много способов получить новый IP-адрес от своего провайдера. Смена MAC-адреса, безусловно, самый простой и работает у многих провайдеров. Кроме того, многие люди, которые замышляют атаки, могут использовать публичный прокси-сервер или TOR. Очевидно, что блокирование IP-адреса отправителя для этих пакетов просто заблокирует прокси или конечный узел TOR.
Так действует ли блокировка IP-адресов? Да, конечно. Но в итоге вы получите ошибки. Вы будете блокировать некоторые IP, которые на самом деле не являются источником проблемы (т . е . прокси), и у вас также будут люди, обходящие ваши блокировки путем смены IP. Человек, которому не повезло получить запрещенный IP, впоследствии не сможет получить доступ к сайтам семейства SO.
Но процент ошибок должен быть небольшим. Если только вы не блокируете огромные наборы IP-адресов. Но если вы блокируете один или два в день, все должно быть в порядке.
Как вычислить человека по ID ВКонтакте Как узнать IP адрес человека Вконтакте
Возможно, вы захотите внедрить более сложную схему, когда вы блокируете, но только на определенный период, например, на год. Если ваша сеть способна дросселировать пропускную способность или ограничивать соединение, вы также можете рассмотреть схему, при которой злоумышленник ов , запускающи х на вашем сайте Apache Benchmarks, просто ограничивают в доступе.
Ответ 4
Подмена IP-адресов будет продолжаться, потому что провайдеры ленивы.
Мой провайдер очень хорошо знает, что я нахожусь на определенном адресе или, по крайней мере, в подсети. Тем не мене е я могу использовать любой адрес источника. Почему так?
Если я подделаю несколько адресов здесь или там, это ничего не будет стоить моему провайдеру. Если бы каждый пользователь моего провайдера подделал один пакет между 1:00 и 2:00, это было бы едва заметным для него. Однако когда ботнет посылает множество поддельных пакетов со многих узлов многих провайдеров, целевая машина или сеть падает.
Финансовая реальность такова, что , если только вы не являетесь объектом атаки, спуфинг ничего не стоит. С тоит дене г в недрить фильтрацию у клиента, и тот, кто тратит деньги, получает очень мало отдачи, кроме осознания того, что он является хорошим гражданином сети.
Легче всего подделать UDP и ICMP, но TCP также возможен. Для этого требуется небезопасная удаленная ОС, которая использует предсказуемые порядковые номера для эксплуатации. Иногда именно машины балансировки нагрузки изменяют порядковые номера и делают их предсказуемыми. Таким образом , TCP возможен , но более сложен.
Борьба с подделкой DNS в основном сосредоточена на безопасности — предотвращении отправки ложного ответа на рекурсивный резольвер. Аспекты флудинга UDP не являются специфическими для DNS, кроме того, что один небольшой запрос (скажем, на ‘.’) вызовет довольно большой ответ. Таким образом, это хороший вектор усиления. Существует множество других протоколов UDP, которые работают, но DNS используется повсеместно, и легко найти машины, которые можно использовать для усиления атак.
DNSSEC делает это еще хуже, поскольку UDP-пакеты могут достигать размера 4k.
Как использовать поддельный IP-адрес и маскировать себя онлайн
