it-swarm.asia

عناوين IP المتغيرة: ما مدى تباينها؟ أفضل الممارسات للتتبع

هناك الكثير من الأسئلة حول StackOverflow المتعلقة بأمان جلسة العمل/اختطاف الجلسة ، ولكن لا يبدو أن هناك حلاً جيدًا للمشكلة. الاقتراحات الثلاثة الأكثر شيوعًا هي كما يلي:

  1. تتبع عنوان IP الخاص بالمستخدمين كجزء من بيانات $ _SESSION الخاصة بهم ، وربما يؤدي إلى إبطال الجلسة إذا تغير. الجانب السلبي هو أن الكثير من المستخدمين لديهم عناوين IP ديناميكية ، لذلك فإنك تخاطر بإبطال مستخدم يبدو عشوائيًا (وجهة نظرهم).

  2. مثل 1. ، ولكن باستخدام وكيل المستخدم. مشكلتان هنا: قد لا يكون هناك UA لتتبع ، ويمكن أن تتغير خلال ترقيات المتصفح ، الخ.

  3. ملف تعريف الارتباط الثاني ، مع رمز مميز فريد. تكمن المشكلة هنا في أنه في حالة تعليق أحد المهاجمين على ملف تعريف ارتباط الجلسة العادي ، فمن المحتمل جدًا أن يكون قادرًا على تعليق رمزك الثانوي أيضًا.

لذلك ، من خلال هذه الخيارات الثلاثة ، يبدو أن عنوان IP هو الخيار الأفضل ، نظرًا لأنك مضمون في أن يتم تمريرك واحدًا ومستقلًا عن الأمان المادي (وإذا تعرض المستخدم للخطر الجسدي ، فستفقده بغض النظر). مع وضع ذلك في الاعتبار ، لديّ سؤالان يتعلقان بتغييرات عنوان IP:

  1. كيف وغالبا ما يتغير عنوان IP للمستخدمين حقا في ظل الظروف العادية. لدي DSL في المنزل ، مع مخاوف IP الديناميكية المعتادة ، ووفقًا gmail ، لم يتغير IP الخاص بي منذ أيام. AFAIK ، وهذا يحدث فقط حقا عندما دورات المودم على أي حال ، أليس كذلك؟ يبدو أن هذا حدث نادر بما فيه الكفاية أنه قد يكون على ما يرام لإبطال الجلسة.

  2. أعتقد أنني أتذكر أن جيف كان يقول في أحد البودكاست SO أنهم فعلوا شيئًا مماثلاً ، رغم أنه ربما كان لشيء آخر. كانت الفكرة أن استخدام أول ثمانين (على ما أظن) يمكن اعتبار الثُمانات من عنوان IP "قريبة بما فيه الكفاية" في بعض الحالات. يسمح هذا للمستخدم بالتنقل على نفس مزود خدمة الإنترنت ، ولكن النظام سوف يلاحظ ما إذا كان المستخدم فجأة في نطاق آخر لمقدمي خدمات الإنترنت. هل هذا تكتيك قابل للحياة؟

3
AgentConundrum

لست متأكدًا بنسبة 100٪ من أن ذلك ينتمي إلى مشرفي المواقع ، لكنني سأجيب عليه على أي حال.

  1. لا يتغير عنوان IP الخاص بالمستخدمين إلا عند اتصالهم دون اتصال بالإنترنت ويعود إلى الاتصال بالإنترنت. لديّ عنوان IP ديناميكي في المنزل ، لكني امتلكته لمدة شهر لأن هذا هو الوقت الذي استغرقته منذ إعادة تشغيل جهاز التوجيه الخاص بي. يفرض بعض مزودي خدمة الإنترنت انقطاعًا كل ن أيام ، والبعض الآخر لا يفعل ذلك. من المستحيل معرفة ذلك ، ولكن في هذا اليوم وهذا العصر ، يستمر عنوان IP عمومًا لبضعة أيام. لذلك ، فقد يكونوا قد قاموا بتسجيل الدخول إلى موقع الويب الخاص بك قبل تغييرات IP الخاصة بهم (انقطاع التيار الكهربائي ، تعثرت عبر كابل الشبكة ، وما إلى ذلك) لذلك ليس من الآمن افتراض هذا على الإطلاق.

    المشكلة الكبيرة التي ستجدها هنا هي ما إذا كنت تستهدف مستخدمي الجوال. بعد ذلك ، يتم إيقاف جميع الرهانات إذا كانت تستخدم شبكات 3G أو HSPDA للوصول إلى موقعك.

  2. ربما تكون أول ثماني استخدام آمنة ، لكن في أستراليا لدينا مزود خدمة إنترنت يسمى BigPond والذي يعد (للأسف) الأكبر في البلاد. تختلف عناوين IP الخاصة بهم التي يخصصونها بشكل كبير ، وليس هناك من طريقة تضمن أن تكون أول ثماني ثنائيات متماثلتين.

قال كل ذلك ، لم أقم مطلقًا بتسجيل الخروج من مواقع Stack Exchange الخاصة بي على جهاز iPhone أو الشبكة المنزلية أو كمبيوتر محمول العمل الخاص بي (حتى عندما أذهب إلى مواقع مختلفة أو استخدم HSPDA). لذلك كل ما يفعلونه يعمل.

أيضًا ، لم أسمع مطلقًا باستخدام وكيل المستخدم كرمز مصادقة. يمكن أن يكون واحد فقط جزء من عملية المصادقة.

أعتقد أنك ستجد أن وجود ملف تعريف ارتباط لجلسة واحدة أو دورتين يكفي عمومًا ، إلا إذا كنت تقوم بشيء ما آمن بشكل لا يصدق أنك تعلم أنه ستكون هناك محاولات اختطاف خطيرة ضد موقعك.

1
Mark Henderson

لا يمكن تغيير عناوين IP إلا إذا تم قطع اتصال الجهاز وعنوان IP وإعادة الاتصال بالإنترنت. ومع ذلك ، فسوف يعتمد اعتمادًا كبيرًا على أنماط الاستخدام ومزود خدمة الإنترنت الخاص بك في حالة حدوث ذلك. على الرغم من ذلك ، سيحاول بعض مزودي خدمة الإنترنت ذوي عناوين IP الديناميكية إصدار نفس عنوان IP الخاص بك دائمًا ، بينما يقوم آخرون (ربما يحاولون الحصول على رسوم إضافية مقابل عناوين IP الثابتة) بإصدار إصدار جديد لك حتى إذا كنت تنقطع عن شبكتها مؤقتًا فقط.

في تجربتي ، يعد التغيير في عنوان IP حدثًا نادرًا بدرجة لا تسمح بإفراط في إبطال الجلسة. لاحظ أنه ومع ذلك ، ما لم يتعامل موقعك مع شيء حساس ، فلا يزال ينبغي تجنبه.

خذ هذا الموقع على سبيل المثال ، ما هو أسوأ ما يمكن أن يحدث إذا قام شخص ما باختطاف حسابي؟ بعض التخريب (أن المجتمع سوف يسحق بسرعة) ، وربما بعض السمعة المفقودة. التأثيرات بسيطة بالنسبة للمستخدم وميزة قليلة للمهاجم. لذلك سيكون من العدوانية المفرطة استخدام هذا الإجراء هنا.

على العكس ، يمكن أن يمنح حساب Google الخاص بي للمهاجمين إمكانية الوصول إلى جميع أنواع البيانات الخاصة (بما في ذلك - كمكافأة - الوصول إلى هذا الموقع). لذلك من الطبيعي أن تكون Google أكثر حذراً (وبالتالي) طلبت كثيرًا تأكيد هويتي هناك (على الرغم من أنني سأعترف بأنه ليس لدي أي فكرة عن المعايير التي يستخدمونها).

0
Kris
  1. لم يتغير عنوان IP الخاص بي منذ عدة أشهر. أعلم أنه مع Shaw Communications (كبل ISP في كندا) ، لا يتغير عنوان IP الخاص بي إلا عندما يتغير عنوان MAC الخاص بي الخارجي (عنوان mac الخاص بالموجه أو كمبيوتر متصل مباشرة بالمودم) OR لا أستخدم بلدي الإنترنت لبضعة أيام.

    منذ وقت ليس ببعيد كنت أستخدم اتصال الطلب الهاتفي ولاحظت أن عنوان IP الخاص بي يتغير في كل مرة أقوم فيها بإعادة الاتصال ، على الرغم من أنه لم يتغير كثيرًا. لست متأكدًا مما إذا كان ذلك سيكون مماثلاً لهواتف DSL واللاسلكية.

    شيء آخر يجب مراعاته هو اختطاف الجلسة من نفس الشبكة المحلية. لست متأكدًا مما إذا كان هناك أي شيء يمكن فعله حيال ذلك. تمتلك بعض المدارس والشركات الكبرى الكثير من أجهزة الكمبيوتر على عنوان IP خارجي واحد. (بعض ISP هو أيضا ربما؟)

  2. لست متأكدًا مما إذا كان بإمكاني الإجابة إذا كانت الثمانيتان آمنة للاستخدام. سأكون مهتمًا برؤية بعض البيانات على قاعدة بيانات كبيرة للمستخدم ومدى التغيير في عنوان IP الخاص بهم.

0
WalterJ89
  • قطع جهاز التوجيه DSL الخاص بي ، عندما لا أستخدمه لمدة 15 دقيقة ، وأحصل على عنوان IP جديد في كل مرة.
  • يستخدم المزود الخاص بي اثنين أو ثلاثة نطاقات IP مختلفة للغاية.
  • يفرضون قطع الاتصال كل 24 ساعة (تمامًا مثلما فعل مزودو خدمة DSL السابقان).
0
Chris Lercher

لا أعتقد أنه شائع في مزودي خدمات الإنترنت السكنية ، لكن ترتيب الوكيل المستخدم لجميع زيارات HTTP (S) الصادرة من قبل أحد عملائنا الرئيسيين (أحد البنوك البريطانية المعروفة والذي سيحتاج لأسباب تعاقدية أن يظل مجهولًا في هذه المرحلة) في بعض الأحيان يجعل الأمر يبدو وكأنه يقوم المستخدمون بتبديل عنوان IP كل بضع دقائق ، حتى في بعض الأحيان في منتصف مجموعة من طلبات الكائنات الفرعية (الصور ، وما إلى ذلك) في نفس الصفحة ، لذلك باستخدام عنوان IPv4 الدقيق كجزء من يعد تتبع الجلسة فكرة سيئة في حالة وجود بعض المستخدمين وراء ترتيب مماثل.

في هذه الحالة ، رأينا العناوين المحددة في النطاق نفسه/24 ، وليس النطاق بأكمله ، على الرغم من أنها آمنة للغاية ، إلا أنني أوصي بالالتزام بأول ثماني ثمانيات من عنوان IP.

رغم ذلك ، قد تتسبب في إزعاج الأشخاص إذا استخدموا التطبيق أثناء السفر. على سبيل المثال ، أحيانًا أفتح جلسة بريد ويب أثناء السفر باستخدام netbook - يمكن أن يبدأ ذلك على منزلي اللاسلكي ، ثم ينتقل إلى اللاسلكي المجاني في محطة القطار ، ثم إلى موفر خدمة الهاتف المحمول إذا كان القطار الذي انتهى بي المطاف به لا يعمل على شبكة لاسلكية ، ثم إلى نقطة وصول لاسلكية أخرى مجانية ، ثم إلى أي شبكة أستخدمها في وجهتي. كل ذلك دون تسجيل خروج من Zimba (إنه موجود تمامًا ويعمل في كل مرة أزيل فيها نتبووك وأتصل بما يتوفر من أي وقت مضى) - يمكنني التنقل بين زوجين من 16/في هذه الرحلة. بالطبع ، هذه هي حالة Edge وقد لا تؤثر أبدًا على عدد كافٍ من المستخدمين لديك لجعلها جديرة بالاهتمام في خططك - خاصةً مع مراعاة أن المستخدمين الأكثر انتقائية سيكونون على ما يرام عند الحاجة إلى تسجيل الدخول مرة أخرى عند التبديل من الشبكة المنزلية إلى شبكة للهاتف المحمول .

اختطاف الجلسة يصعب منعه تمامًا. إذا كان الخاطف يمكنه فحص حركة المرور بين العميل والخادم من أي شيء يمكنك إرساله مرارًا وتكرارًا عبر قناة غير مشفرة يكون من السهل تقليده وإذا تمكن الخاطف من العمل من مضيف على الطريق بين العميل والخادم حتى يتمكنوا من تزوير الطلبات التي يبدو أنها تأتي من عنوان IP الصحيح حتى لا يساعدك ذلك دائمًا. لإيقاف اختطاف الجلسة تمامًا ، يجب عليك استخدام HTTPS (وإذا كنت تريد أن تشعر بجنون العظمة حقًا: إذا كان لدى المهاجم طريقة ما أو الوصول إلى (أو تزوير) شهادة HTTPS الخاصة بك ، فهذا لا يوقف الهجمات القائمة على بدء جلسة MiTM). أفترض أنه يمكنك أيضًا تنفيذ شيء مثل تبادل المفاتيح DH لتقرير مفتاح مشترك دون إرساله ، واستخدام ذلك بالإضافة إلى الوقت الحالي بالإضافة إلى بعض الملح لصنع علامة تجزئة يمكن أن يقوم الخادم بإدخالها ، لكنني أشك كثيرًا في أن ذلك سيكون عمليًا ( على وحدة المعالجة المركزية اللائقة بمحرك JS حديث كما هو موضح في FF3.5 + أو Chrome أو ما شابه ذلك ، قد تتمكن من إجراء تبادل DH الأولي لأحجام مفاتيح مفيدة بسرعة كافية ، ولكن لن يكون هناك مستخدم IE محمول للدخول في غضون أسبوع).

هناك مشكلة أخيرة تتعلق باستخدام عنوان IP الخاص بالطلب كجزء من تتبع الجلسة: إذا كانت وراء ترتيب NAT فيمكنهم مشاركة عنوان IP هذا مع مئات المستخدمين. عند الاتصال بمزود الجيل الثالث ، أحصل على عنوان في نطاق 10.xxx غير المكتوب عليه رسميًا - لا أعرف عدد عناوين الوجه العامة التي يمكن أن تظهر طلبي منها ، لكن من الممكن أن أشارك عنوانًا عامًا واحدًا مع الآلاف من الأشخاص في هذه المرحلة (بالتأكيد لن يكون لديّ خطاب عام لنفسي).

قصة قصيرة طويلة: عنوان IP للعميل ليس جيدًا كما تظن في جلسات التتبع ، على الرغم من أن استخدام أول ثماني تماثيل من شأنه أن يوفر بعض الحماية الإضافية علاوة على الرموز المميزة للجلسة التي تستخدمها ، دون أي إزعاج أكثر من عدد قليل من المستخدمين.

0
David Spillett