Perché il rilevamento degli attacchi basato sulla stessa richiesta utente da luoghi diversi (ad es. per IP) non è ampiamente utilizzato?

3

Ci sono molti modi in cui un avversario può fingere di essere un utente legittimo (come rubare cookie di sessione, bruteforcing della password e cosa no), ma per quanto posso vedere dovrebbe essere piuttosto difficile per loro passare inosservato se il sistema cerca di proteggerlo, ad es rilevando che lo stesso utente accede da un IP diverso entro un breve periodo di tempo e inoltre continua a inviare richieste da più IP contemporaneamente. Questo sembra piuttosto evidente che nella maggior parte dei casi sta accadendo qualcosa di spettrale.

  • È davvero una buona indicazione di un attacco di successo e il sistema dovrebbe cercare di prevenirlo in qualche modo (credo che ad esempio google)?
  • Non ho visto che questo ampiamente utilizzato, è perché è piuttosto costoso da implementare o perché le persone tendono a fare affidamento sulla prevenzione del furto di identità, in primo luogo?
posta Ilya Chernomordik 04.02.2016 - 10:48
fonte

1 risposta

5

Ci sono alcuni motivi per cui l'indirizzamento IPv4 non viene usato in questo modo:

  • Gli indirizzi IP non sono un'indicazione infallibile della posizione. I blocchi di indirizzi IP sono assegnati alle aziende e possono essere utilizzati ovunque siano richiesti. Una società in Asia potrebbe ottenere un blocco da apnic, ma poi utilizzare parte della loro allocazione in Nord America
  • I sistemi ottengono indirizzi IP diversi per tutto il tempo per motivi legittimi. Il router ADSL dell'utente può essere assegnato a un indirizzo diverso oppure l'utente può accedere utilizzando WIFI su Starbucks, una modifica dell'indirizzo IP non è un buon indicatore di frode
  • Un utente potrebbe utilizzare un anonymizer o VPN di qualche tipo. Potrebbe sembrare che un utente che accede con Tor provenga da una posizione diversa interamente
  • Un utente potrebbe utilizzare più dispositivi contemporaneamente per accedere allo stesso tempo. Molte persone usano i dispositivi mobili contemporaneamente ai loro laptop, oppure hanno un computer da lavoro e una macchina personale che vanno nello stesso sito

Questi sono tutti veri con IPv4 in cui viene assegnato l'indirizzamento IP in base al segmento di rete in cui ci si trova. L'uso delle modifiche dell'indirizzo IP per rilevare le frodi comporterà troppi falsi positivi.

Si noti che con IPv6 la seconda metà dell'indirizzo è l'indirizzo MAC del dispositivo. Poiché gli indirizzi MAC sono (presumibilmente) unici, può essere utile eseguire un controllo antifrode quando viene rilevato un nuovo indirizzo macchina che accede a un account. Questo è ciò che aziende come Facebook stanno già provando a fare: rilevare nuovi sistemi piuttosto che l'accesso IP.

    
risposta data 04.02.2016 - 11:23
fonte

Leggi altre domande sui tag