The*_*can 4 security authentication ip networking spoofing
我正在处理受防火墙保护的应用程序,并且只允许从某些IP地址(应用程序Web服务器)进行访问.
它有点微妙,引入另一个身份验证/保护层会很麻烦.
我对网络的理解并不是很好,因为它不是我的主题,但在我的脑海里,我编写了以下场景:
有人知道我们的一个应用程序服务器的IP地址,并想要伪造它以访问他知道监听套接字和协议的其他应用程序.
因此,他改变了IP数据包的标头,将Web服务器IP作为发送器.
接下来发生什么?
答:他的ISP拒绝了这个数据包并说:"嘿,这不是你从我那里分配的IP地址." - 解决了问题
B:ISP将数据包传递到下一级别(他的上行链路......)
让我们假设ISP已被盗用或数据包未经检查就被传递(我不知道是否是这种情况)
接下来发生什么?
答:运营商拒绝数据包并说"嘿,IP不在我们同意你正在操作的IP范围内!" - 现在,如果我的网络服务器不是由攻击者攻击的同一个ISP操作的,那么问题就解决了
B:ISP不检查数据包或受到攻击并将其转发到他的上行链路.
现在我确信通过路由器时会检查和过滤IP地址.否则就会完全无政府状态.
所以说实话:一个想要伪造我的IP地址的攻击者需要破坏负责我的网络服务器运行的IP范围的非常相同的ISP - 或者这个ISP不进行数据包检查.
好吧,现在我想我的服务器位于办公室,其ISP是一家地区有线电视公司.
将数据包从我的IP地址发送到另一个互联网IP所需的步骤是什么?
(当然,我只是要求了解风险并选择适当的保护措施!)
我想要找到路由站,它通常位于街道一侧的一个小容器中,只有一个锁才能保护.进去吧 交换电缆或插入自己.
如果您知道自己在做什么,或者是否存在真实办公室调制解调器上存储的密钥与构建经过身份验证的连接所需的密钥,那么这种情况最有可能发挥作用吗?
我在谈论今天有线互联网的标准.
最后的想法:所以如果我的原始服务器不是某些家庭ISP,它的站点在街道上易受攻击我应该是非常安全的,对吗?
我记得NFS服务器仅依赖IP身份验证作为默认值.因为这很常见 - 是否存在伪造IP地址导致NFS服务器入侵的任何示例?
我意识到这个问题非常暴躁.这是因为我不确定我在这里说什么.我只是想在洞穴吃的地方给出一些输入,这样就可以确认或消除它们.
总的来说,我很感激您对该主题的任何评论和个人想法!
现在我确信通过路由器时会检查和过滤IP地址.
尽管你的确定程度很高,但这种假设是不正确的."出口过滤",这是其名称,通常没有完成.
防止广泛欺骗IP地址的主要保护措施是攻击者不会收到任何响应数据包 - 它们将全部路由回到使用被欺骗的IP地址合法使用的主机.这种攻击被称为"盲目欺骗",因为攻击者正在盲目工作.
为了在TCP连接上发送数据,您必须能够完成TCP"三次握手".这需要知道对方使用的初始序列号 - 并且由于TCP初始序列号被合理地随机选择1,这可以防止盲目欺骗攻击能够做到这一点.(另请注意,这并不能适用于UDP -没有某种应用层预防性的,UDP是盲目欺骗显著风险).
如果攻击者可以看到回复(例如,因为他正在嗅探服务器的上行链路或本地网络),那么这也不适用 - 在这种情况下欺骗TCP连接不仅是可能的,而且是微不足道的.
这些天,无论如何 - 情况并非总是如此.
| 归档时间: |
|
| 查看次数: |
2600 次 |
| 最近记录: |