2010-11-20 13 views

Antwort

2

Wenn ein Client-Adresse der Quelle IP schmiedet, wird es wegen zu establish a TCP connection, sehr schwierig sein, da @cdhowie in einem Kommentar unten erwähnt, müßte der Client der Server-SYN + ACK zurück an ACK, die es nie erhalten. Die gefälschten IP-Adressen sind meist gefährlich für Angriffe mit denial of service, da der Angreifer keine Antworten auf die Angriffspakete erhalten möchte und sie viel schwieriger zu filtern wären, da jedes gefälschte Paket von einer anderen Adresse zu kommen scheint.

+0

aber der Angreifer könnte Methoden auf dem Dienst aufrufen (selbst wenn er die Antwort nicht sieht) –

+0

@Yaron: Nicht wirklich auf TCP-basierten Protokollen (wie HTTP). Um eine Verbindung herzustellen, muss der Client Folgendes bestätigen: http://en.wikipedia.org/wiki/Three_way_handshake#Connection_establishment –

+0

@Yaron: Unwahrscheinlich. Um die TCP-Verbindung sogar einzurichten, müsste der Spoofer das SYN + ACK des Servers bestätigen. Und er müsste die spezifische 32-Bit-Sequenznummer, die in dem SYN + ACK-Paket gesendet wurde, ACK, die er niemals empfangen würde. Solange der Host, den er anzugreifen versucht, genügend zufällige Anfangssequenznummern wählt, ist dieser Angriff nicht praktisch. – cdhowie

1

Nicht wirklich. Erstens müssten Sie auch alle Proxies einschränken, um effektiv zu sein. Noch wichtiger ist, dass Sie legitime Benutzer wie diese blockieren können. Es kann eine schnelle Lösung für einige chronische Probleme sein, aber im Allgemeinen ist es nicht so effektiv wie es scheint.

+0

was ist mit einer weißen Liste? –

+1

Für White-Listing ist es viel effektiver, da der Angreifer nicht alle Router im Internet spoofen kann. Wenn der Angreifer eine IP-Adresse manipuliert, wird die Antwort nicht an den Angreifer zurückgegeben, es sei denn, der Angreifer befindet sich im selben Subnetz wie die legitimen Benutzer und der PC ist heruntergefahren oder er hat die Kontrolle über einen Router dazwischen. Vielleicht mein Punkt - Sie müssen jemand dazwischen vertrauen, wenn Sie nicht Ende-zu-Ende-Verschlüsselung verwenden. –

0

IP-Spoofing ist meistens im LAN möglich. Meiner Meinung nach ist es nicht möglich, den Zugriff auf die Site per IP zu beschränken. Ich würde eher in Betracht ziehen, einige Zertifikate/Authentifizierungsmethoden anzuwenden.

Here ist ein Beispiel. Lesen Sie etwas Theorie here

Verwandte Themen