C'è un sito con blocco IP. Quando un cliente fa troppi tentativi non validi quando indovina, ad es. password, quindi il loro indirizzo IP viene bloccato.
Ho sentito parlare di spoofing IP e attacchi simili. Un utente malintenzionato può spoofare il proprio indirizzo IP e continuare i propri tentativi di indovinare le password?
Se è importante, il sito utilizza HTTPS e HSTS.
In sostanza dipende dall'attaccante e quali risorse hanno a disposizione. Gli utenti domestici ordinari o gli attaccanti che non sono molto impegnati potrebbero essere scoraggiati dal blocco degli indirizzi IP sorgente, ma gli aggressori più avanzati / determinati hanno diversi modi per aggirare questo problema.
L'ovvio è utilizzare uno dei numerosi servizi proxy disponibili su Internet. Questo include cose come ToR e Anonymizer.com. Poiché uno degli obiettivi di questi servizi è quello di mascherare l'indirizzo IP di origine dell'utente, essi ignoreranno il blocco finché l'utente malintenzionato non tenterà abbastanza tentativi con un dato IP e verrà nuovamente bloccato.
Per inciso, l'utente malintenzionato potrebbe causare un DoS parziale alla tua applicazione girando un numero sufficiente di tali siti, poiché tutti gli altri utenti che fanno uso di tali servizi verranno bloccati, una volta bloccati gli indirizzi IP appartenenti a loro.
Oltre ai servizi online, l'utente malintenzionato potrebbe fare cose come utilizzare gli hotspot Wi-Fi o le reti college / universitarie per ottenere l'accesso a più IP sorgente
Quindi in sostanza questo blocco renderebbe le cose più difficili ma non fermerebbe un attacco determinato.
Non puoi semplicemente spoofare gli IP quando usi TCP, dal momento che devi essere in grado di ricevere la risposta. Correlato: link
Puoi comunque usare dei relè di qualche tipo. Proxy, TOR, ...
Il blocco IP diventa piuttosto inefficace se l'attaccante ha una botnet. Questo gli dà molti IP.
Dipende dalla politica di filtraggio. Se si tratta di un rifiuto esplicito, in base al quale solo gli utenti autorizzati [e quindi gli IP] vengono aggiunti a una whitelist, può essere un livello di sicurezza piuttosto efficace.
In questo scenario, un utente malintenzionato dovrebbe compromettere un host consentito per connettersi al sito. La dimensione e la natura della base di utenti autorizzati determineranno quanto sia difficile. I siti che contengono contenuti con licenza utilizzano spesso questo tipo di controllo di accesso.
Inoltre, questo non descrive un controllo di sicurezza a prova di proiettile. In quanto tale, dovrebbe essere uno strato di un modello di sicurezza di difesa in profondità maggiore.
Dov'è la configurazione di una lista nera, la situazione è molto diversa. Le altre risposte descrivono abbastanza bene questo scenario.
Nessuno qui sembrava menzionarlo, quindi ecco i miei 2 centesimi:
Gli IP dinamici sono utilizzati da molti ISP. Ne ho uno, per esempio. Ciò significa che non appena riavvio il mio router (che è banale, basta accenderlo e spegnerlo e alcune persone non si spengono) ricevo un nuovo indirizzo IP.
Questo significa anche che qualcun altro avrà il mio vecchio IP, quindi il ragazzo verrà bloccato dal tuo sito Web senza motivo. Inoltre, è possibile scrivere tutto questo, quindi se l '"attaccante" (leggi: script kiddie) sa come creare un file batch, ci sarà il bando dell'IP.
In conclusione: non è banale ignorarlo, ma usarlo può anche danneggiare gli utenti legittimi.
Lo spoofing di un indirizzo IP non funzionerà molto bene con HTTPS poiché è necessario effettuare prima una corretta connessione a 2 vie - non è possibile farlo se le risposte vengono inviate all'indirizzo sbagliato.
Le persone sulla maggior parte delle connessioni DSL possono semplicemente riavviare il loro modem / router per ottenere un nuovo indirizzo IP. Quindi possono continuare a provare. E le botnet hanno centinaia di indirizzi IP da cui provare. Quindi non fa molto per fermarli.
Può anche causare problemi se qualcuno decide di sfruttare il blocco IP. Alcuni ISP come AOL hanno tutti i loro clienti dietro NAT e stanno andando su Internet solo su alcuni indirizzi IP. Il blocco di uno di questi impedirà l'accesso ad altre persone legittime. Lo stesso vale per la maggior parte degli uffici e delle scuole di grandi dimensioni: un solo indirizzo IP potrebbe essere effettivamente 1000 utenti.
Leggi altre domande sui tag network webserver ip-spoofing