回答
如果客户端伪造其源IP地址,那么establish a TCP connection将非常困难,因为在下面的注释中提到的@cdhowie,客户端需要确认服务器的SYN + ACK回应,它永远不会收到。
欺骗性IP地址对denial of service攻击最为危险,因为攻击者不会在意接收对攻击数据包的响应,而且由于每个欺骗数据包似乎都来自不同的地址,所以它们将更难以过滤。
不是。首先,你需要限制所有的代理,才能有效。更重要的是,你可能会阻止像这样的合法用户。它可以成为一些慢性问题的快速解决方案,但总的来说它并不像看起来那么有效。
那白名单呢? – 2010-11-20 20:43:22
对于白名单,它更有效,因为攻击者无法欺骗互联网上的所有路由器。如果攻击者欺骗IP,则响应不会回到攻击者身上,除非攻击者与合法用户位于同一个子网中,并且他们的PC已关闭或者他控制了中间的某个路由器。也许我的意思是说 - 如果你不使用端到端的加密,你必须相信其中的某个人。 – 2010-11-20 20:50:37
- 1. 通过IP限制一个网站
- 2. 通过域名限制对网站的访问
- 3. 通过IP范围限制访问(PHP)
- 4. Solr Jetty 8通过IP限制访问
- 5. 通过ip限制tomcat访问
- 6. *工作通过IP限制网站访问PHP脚本已停止工作
- 7. 通过IP限制对Tomcat管理器的访问
- 8. 通过IP地址限制对WordPress管理员的访问
- 9. 通过IP地址限制网页内容访问
- 10. 限制访问网站
- 11. IIS7通过MAC地址限制网站访问?
- 12. 用户通过局域网访问网站的权限(Django)
- 13. 禁止通过禁止的IP地址访问网站
- 14. 通过公共ip访问本地托管的网站
- 15. 限制访问网站上的图像
- 16. 限制访问“admin”面板的网站?
- 17. 通过IP地址限制访问用户的功能
- 18. 通过IP限制访问的Nginx上与Laravel
- 19. 通过创建一个新的浏览器限制ip访问?
- 20. 通过IP地址访问时,网站上未显示图像
- 21. 允许多个IP通过.htaccess访问Wordpress网站管理员
- 22. 禁止通过IP服务器访问网站
- 23. 网站是通过IP地址访问,但不是域名?
- 24. 如何通过ip地址访问共享主机网站
- 25. 通过IP地址浏览器访问新网站?
- 26. 通过网页访问一个网站
- 27. joomla网站显示限制访问
- 28. 限制访问Azure网站白名单
- 29. 限制网站访问QR扫描仅
- 30. 通过权限限制访问
但攻击者可以调用服务上的方法(即使他看不到响应) – 2010-11-20 20:42:54
@Yaron:不是基于TCP的协议(如HTTP)。要启动连接,客户端需要回复:http://en.wikipedia.org/wiki/Three_way_handshake#Connection_establishment – 2010-11-20 20:48:55
@Yaron:不太可能。为了甚至建立TCP连接,欺骗者需要确认服务器的SYN + ACK。他需要确认在SYN + ACK数据包中发送的特定的32位序列号,而这是他永远不会收到的。只要他试图攻击的主机挑选足够随机的初始序列号,这种攻击就不实际。 – cdhowie 2010-11-20 20:50:45