Сколько усилий нужно, чтобы подделать IP-адрес при вызове веб-службы?
https://stackoverflow.com/questions/226316
-
03-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Я не хочу знать, как ... Просто, как сложно ....
Я подумываю о защите веб-службы или 2 в зависимости от IP-адреса входящего клиента вызывающего абонента. Насколько это безопасно?
Конечно, если IP-адрес был подделан, то результат должен быть отправлен обратно на адрес, который был подделан, и, следовательно, не достигнет спуфера?
Обновление: Хорошо, так что из того, что я могу сказать .... Я должен создать метод Gettoken (), который проверяет IP-адрес и передает криптографически значимый токен с тайм-аутом на любой действительный IP-адрес. Затем это требуется любым другим методом, прежде чем разрешается любой побочный эффект.
Поскольку злоумышленник (вероятно) не может получить токен без действительного IP-адреса, он не сможет достоверно назвать любой из моих " опасных " веб-методы?
Решение
Если вы пытаетесь сделать что-то более сложное, чем DDoSing или вызываете дыру в безопасности, то подмена не является ответом. Вам нужна система, которая будет обрабатывать ваш запрос, таким образом скрывая истинное происхождение запроса. Поскольку мы говорим о HTTP-трафике, с этим справится анонимный прокси-сервер .
В целях безопасности, на которые вы ссылаетесь, это зависит от того, могут ли быть предприняты действия. Если сайт чисто информационный, то вы в безопасности. Если сайт разрешает выполнение действий (например, обновить это, удалить это), подумайте о добавлении как минимум аутентификации по паролю.
Другая проблема, о которой следует помнить, заключается в том, что любой, управляющий маршрутизаторами между вашим сервером и IP-адресом, который вы хотите разрешить, может перехватывать пакеты. Это позволило бы им иметь полную двустороннюю поддельную связь без вашего сервера. Если вы хотите, чтобы информация была действительно безопасной, используйте HTTPS и схему аутентификации, чтобы предотвратить такие перехваты.
Другие советы
Не так сложно, так же просто, как подделать ваш IP-адрес для любого другого общения http://en.wikipedia.org/wiki/IP_address_spoofing
Но они не собираются получать ответы. Фактический IP-адрес, который они подделали, будет.
Ты прав. Если ответ вашего сервера должен достигнуть клиента для установления двусторонней связи, то поддельный IP-адрес никогда не получит ваш ответ. Однако вы можете подвергнуться атаке типа «отказ в обслуживании» со стороны поддельного IP-адреса, поскольку при вычислении вашего ответа будет потребляться некоторое количество ресурсов ЦП на сервере.
Частью нашей безопасности веб-службы является требование от клиентов использовать шифрование с открытым ключом / закрытым ключом (цифровые подписи xml), чтобы гарантировать отказ от прав, чтобы гарантировать, что только разрешенные клиенты могут получить доступ к службе.
