Сколько усилий нужно, чтобы подделать IP-адрес при вызове веб-службы?

Question

Я не хочу знать, как ... Просто, как сложно ....

Я думаю о защите веб-службы или 2 в зависимости от IP-адреса входящего клиента вызывающего абонента. Это как-то безопасно?

Конечно, если IP-адрес был подделан, то результат должен быть отправлен обратно на адрес, который был подделан, и, следовательно, не достичь спуфер?

Обновление: Хорошо, так что из того, что я могу сказать .... Я должен создать метод Gettoken (), который проверяет IP-адрес и передает криптографически значимый токен с таймаутом на любой действительный IP-адрес. Затем это требуется любым другим методом, прежде чем разрешается любой побочный эффект.

Поскольку злоумышленник не может (вероятно) получить токен, не имея действительного IP-адреса, он не сможет достоверно вызвать любой из моих «опасных» веб-методов?

Answer 1

Если вы пытаетесь сделать что-то более сложное, чем DDoSing или вызываете дыру в безопасности, то подмена не является ответом. Вам нужна система, которая будет обрабатывать ваш запрос, таким образом скрывая истинное происхождение запроса. Поскольку мы говорим о HTTP-трафике, анонимный прокси 1002 * справится с задачей.

В целях безопасности, на которые вы ссылаетесь, это зависит от того, могут ли быть предприняты действия. Если сайт чисто информационный, то вы в безопасности. Если сайт разрешает выполнение действий (например, обновить это, удалить это), подумайте о добавлении как минимум аутентификации по паролю.

Другая проблема, о которой следует помнить, заключается в том, что любой, управляющий маршрутизаторами между вашим сервером и IP-адресом, который вы хотите разрешить, может перехватывать пакеты. Это позволило бы им иметь полную двустороннюю поддельную связь без вашего сервера. Если вы хотите, чтобы информация была действительно безопасной, используйте HTTPS и схему аутентификации, чтобы предотвратить такие перехваты.

Answer 2

Ты прав. Если ответ вашего сервера должен достигнуть клиента для установления двусторонней связи, то поддельный IP-адрес никогда не получит ваш ответ. Однако вы можете подвергнуться атаке типа «отказ в обслуживании» с поддельного IP-адреса, поскольку при вычислении вашего ответа будет потребляться некоторое количество ресурсов ЦП на сервере.

Answer 3

Не так сложно, так же просто, как подделать ваш IP-адрес для любого другого общения http://en.wikipedia.org/wiki/IP_address_spoofing

Но они не собираются получать ответы. Фактический IP-адрес, который они подделали, будет.

Answer 4

Часть нашей безопасности веб-службы заключается в том, чтобы требовать от клиентов использования шифрования с открытым ключом / секретным ключом (цифровые подписи xml), чтобы гарантировать отказ от авторских прав, чтобы гарантировать, что только разрешенные клиенты могут получить доступ к услуге.