3
サイトへのアクセスをIPで制限することは安全ですか?IPによるサイトへのアクセスの制限
私は「IPなりすまし」と呼ばれることがあることを知っています - これは(一部の条件下で)IP制限が正確でないことを意味しますか?
A
答えて
2
establish a TCP connectionクライアントが送信元IPアドレスを偽造すると、以下のコメントに記載されている@cdhowieのように、クライアントは受信しないサーバーのSYN + ACKをACKする必要があるためです。
攻撃者は攻撃パケットに対する応答を気にしないため、スプーフィングされたパケットは異なるアドレスから来ているように見えるため、denial of service攻撃ではほとんどの場合危険です。
1
まず、すべてのプロキシも効果的に制限する必要があります。さらに重要なのは、このような正当なユーザーをブロックする可能性があることです。それはいくつかの慢性的な問題のための迅速な修正ができますが、一般的にはそれは効果的ではありません。
+0
ホワイトリストはどうですか? –
+1
ホワイトリストには、攻撃者がインターネット上のすべてのルータを偽装することができないので、はるかに効果的です。攻撃者がIPを偽装すると、攻撃者が正当なユーザーと同じサブネット上にあり、PCがシャットダウンされていないか、間にあるルータの制御権を持っていない限り、応答は攻撃者に戻らない。たぶん私はそれを指摘します。エンド・ツー・エンドの暗号化を使用しないと、間に誰かを信頼する必要があります。 –
0
関連する問題
- 1. CloudFrontへのIPによるアクセスを制限する
- 2. IISのIPフィルタリング - マイクロサービスへのアクセスをローカルホストのみに制限
- 3. Node.jsベースのHTTPサーバーへのアクセスをIPアドレスで制限する
- 4. Wordpressの管理者へのアクセスをIPアドレスで制限する
- 5. IP経由のRabbitMQへのアクセスを制限する
- 6. IPアドレスで仮想URIへのアクセスを制限する
- 7. GCPのGKEでkubernetesのIPによるアクセスを制限する
- 8. asmx Webサービスの特定のIPアドレスへのアクセス制限
- 9. Active Directoryコンピュータグループによる.Net Webサイトへのアクセスを制限する
- 10. htaccessによるIP制限
- 11. IPアドレスによるIdentityServer3 ClientCredentialsアクセスの制限
- 12. Heroku:パブリック/ IPでファイルへのアクセスを制限しますか?
- 13. 米国地域へのAWS Elastic IPへのアクセスを制限する
- 14. 私のローカルWebサイトへのアクセス制限をApacheで
- 15. WebRTC TURNサーバーのIP範囲アクセス制限
- 16. herokuアプリへのアクセス制限
- 17. Drupal:コメントへのアクセス制限
- 18. NaraxでIPによるアクセスをLaravelで制限する
- 19. Google雲WordpressでIPアドレスによるアクセスを制限する
- 20. * IP PHPスクリプトによるWebアクセスを制限しています。
- 21. SQL 2005へのSELECTアクセス制限された基盤へのアクセスによるビュー
- 22. 特定のIPからのawsインスタンスへのアクセスを制限する
- 23. Apache:仮想ホスト内の特定のソースIPへのアクセスを制限する
- 24. Amazon EC2からIPの範囲へのアクセスを制限する方法
- 25. Azure ARM VNET:特定のIPセットへのRDPアクセスを制限する方法
- 26. Django - 同じ値へのアクセスを制限するユーザ制限
- 27. コンテンツプロバイダへのアクセスを制限する
- 28. コントローラメソッドへのアクセスを制限する
- 29. Django:ページへのアクセスを制限する
でも、攻撃者はサービス上のメソッドを呼び出すことができます(応答が表示されなくても) –
@Yaron:TCPベースのプロトコル(HTTPなど)ではありません。接続を開始するには、クライアントは返信する必要があります。http://en.wikipedia.org/wiki/Three_way_handshake#Connection_establishment –
@ Yaron:そう思わないでしょう。 TCP接続を設定するためにも、spooferはサーバのSYN + ACKをACKする必要があります。また、SYN + ACKパケットで送信された特定の32ビットシーケンス番号をACKする必要があります。攻撃しようとしているホストが十分にランダムな初期シーケンス番号を選んでいる限り、この攻撃は実用的ではありません。 – cdhowie