Можно ли подделать ваш IP... безопасно ли проверять ip-адреса?

Мои вопросы в том, безопасно ли это? Или кто-то может потенциально подделать свой IP-адрес, чтобы выглядеть так, как будто он находится в нашем домене, и получить доступ к этим функциям?

Нет, если только они также не имеют доступа к сетям одного из разрешенных IP-адресов, или любая из разрешенных машин под одним из IP-адресов не скомпрометирована и трафик прокси-серверов.

В вашем сценарии это кажется достаточно хорошим. Ну, за исключением привилегированных пользователей, которым не будет разрешен доступ к контенту с других IP-адресов без какого-либо VPN.

Обратите внимание, что Подмена IP-адресов обычно имеет другое значение, чем то, которое вы используете. Это означает только подделку адреса источника пакета. Это само по себе бесполезно, потому что для доступа к сервису также необходимо было бы получить ответ от сервера. Даже "подмена IP-адресов" в этом смысле сегодня встречается редко из-за лучшей маршрутизации.

Подмена IP-адресов возможна, если она нетривиальна.

Почему бы вам просто не попросить своих сотрудников войти в систему, чтобы получить доступ к функциям только для сотрудников?

Если вы собираетесь это сделать, сделайте это с помощью конфигурации apache, а не с помощью кода. Вы в основном заново изобретаете функциональность, встроенную в is.

Что касается прямого вопроса, как уже говорили другие, подделка IP-адреса возможна, если она нетривиальна. Также надеюсь, что у вас нет незащищенных беспроводных точек доступа.

ИЗМЕНИТЬ: Инструкции по управлению доступом Apache . Я предполагаю, что вы используете Apache из-за использования PHP, если вы на самом деле используете IIS, это все еще настройка, управляемая конфигурацией но явно отличается по своему исполнению.

Я не думаю, что это возможно, потому что, когда вы делаете запрос на сервер, вы фактически просите своего провайдера запросить сервер.

До тех пор, пока вы проверяете все метаданные HTTP, которые провайдер пересылает вам, такие как X-FORWARDED-FOR и метаданные прокси-сервера, вы должны иметь возможность поддерживать строгую систему..

Вот диаграмма, которая может помочь вам понять, что я имею в виду:

Подробнее читайте здесь информация.

Http://www.astahost.com/info.php/hacker39s-view-easy-spoofing-ip-address_t13807.html

Я поддержал ЛАДЬЮ в этом вопросе. Вы не можете подделать TCP-соединение и при этом получить доступ к своему сайту с той же машины, которая выполняет подмену. Почему? Потому что ответ вашего веб-сервера (изначально) будет на поддельный IP-адрес при попытке установить соединение с сокетом (3-стороннее рукопожатие TCP).

Вполне возможно, что если у вас есть два компьютера (A и B) с двумя разными общедоступными IP-адресами, и вы используете один из компьютеров (A) для подделки или отправки пакетов на свой веб-сервер используя IP-адрес B таким образом, чтобы, когда ваш веб-сервер отвечает, он отправлял пакеты B.

Если IP-адреса, используемые в поддельном вызове, являются внутренними в вашей подсети, то внутренние рабочие станции будут получать пакеты TCP ACK для неинициированных пакетов TCP SYN и отклонять их или игнорировать. Я не знаю ни о какой реализации стека TCP/IP, которая пыталась бы выполнить 3-стороннее рукопожатие только для пакетов ACK; это нарушает стандартный протокол.

Подмена - это метод затопления UDP, при котором злоумышленник выполняет атаку DOS (Отказ в обслуживании), используя фальшивый IP-адрес, чтобы попытаться скрыть свои следы.

Надеюсь, это поможет.

$_SERVER['REMOTE_ADDR'] предоставляется вашим веб-сервером, и его невозможно подделать напрямую. Единственный способ обойти это, который я вижу, - проксировать соединение через один из разрешенных IP-адресов.

Когда мы столкнулись с аналогичным вопросом, мы пришли к выводу, что если пользователь обращается к нам по http, мы не можем полностью полагаться на их IP-адрес, потому что они могут использовать прокси-сервер. Но https - это всегда прямое соединение; он не допускает прокси-серверов, поэтому мы могли быть уверены, что IP-адрес, который мы видели, был правильным. Поэтому мы заблокировали наших пользователей на основе IP-адреса, ПЛЮС они должны были получить доступ к сайту по протоколу https (и войти в свою учетную запись, конечно конечно).

Ваш случай звучит немного иначе, чем наш, но я бы сказал, что вышесказанное должно быть полезно и для вас.

Даже если вы не следуете этому точному пути, вам нужно знать о прокси-серверах. Прокси-сервер теоретически может разрешить любому количеству разных пользователей доступ к вашему сайту с одного IP-адреса, поэтому, если вам каким-то образом удастся включить IP-адрес прокси-сервера в свой список разрешенных адресов, вы откроете дыру в системе безопасности, поэтому вам нужно быть уверенным, что любой IP-адрес, который вы добавление в список является законным (здесь может помочь https).

Кроме того, если ваши пользователи заходят со своих домашних компьютеров, имейте в виду, что их IP-адрес может со временем измениться. Большинство интернет-провайдеров предоставляют своим клиентам динамические IP-адреса, которые могут быть переназначены, что означает, что каждый раз, когда вы подключаетесь к Интернету, есть вероятность, что вы получите другой IP-адрес. Если это так, то подмены не происходит, но, тем не менее, вы не сможете надежно идентифицировать пользователя по его IP-адресу адрес.

Все возможно, но это всегда вопрос стоимости.
В большинстве случаев такая подделка не стоит