我不想知道如何......只是多么复杂....在调用web服务时欺骗IP地址需要多少努力?
我想保护一个webservice或2基于来电客户端ipaddress的来电者。这是以任何方式安全?
当然,如果IP地址被欺骗,那么结果将不得不被发回到被欺骗的地址,因此不会到达欺骗者?
更新:好,从我可以告诉....好吧,我应该创建一个Gettoken()方法,检查IP地址并传递一个加密的重要令牌,超时到任何有效的IP地址。在允许任何种类的副作用之前,这是任何其他方法所要求的。
由于攻击者无法(有可能)获得令牌而没有有效的IP,他将无法有效地调用我的任何“危险”webmethods?
如果您尝试做比DDoSing更复杂或触发安全漏洞的事情,那么欺骗并不是答案。你需要的是一个能够满足你请求的系统,从而隐藏了请求的真正来源。既然我们在谈论HTTP流量,那么Anonymous Proxy就可以做到。
为了您提到的安全性,这取决于是否可以采取措施。如果网站纯粹是信息性的,那么你是安全的。如果网站允许执行操作(例如更新此操作,请将其删除),然后考虑至少添加密码验证。
需要记住的另一个问题是,任何控制您的服务器和您希望允许的IP地址之间的路由器的人都可以拦截数据包。这样可以让他们在没有服务器实现的情况下完成双向欺骗通信。如果您希望信息真正安全,请使用HTTPS和身份验证方案来防止发生此类拦截。
并不难,一样容易欺骗你的IP地址用于任何其他通信 http://en.wikipedia.org/wiki/IP_address_spoofing
但他们不会得到响应。他们欺骗的实际IP地址将会。
你说得对。如果您的服务器响应需要到达客户端以建立双向通信,那么欺骗IP永远不会收到您的响应。但是,您可能遭受来自欺骗性IP的拒绝服务攻击,因为计算您的响应将消耗服务器上的某些CPU。
我们的Web服务安全性的一部分是要求客户端使用公钥/私钥加密(xml数字签名)来确保不可否认性,以确保只有允许的客户端才能访问该服务。
有时,欺骗者可能不会寻求答复。他们只是想做一个INSERT或UPDATE。 – DOK 2008-10-22 15:43:27
谢谢dok1。一个*非常*有效的点。 – 2008-10-22 15:44:44