এইচটিটিপি অনুরোধের আইপি ঠিকানাটি কী ছলনা করা যায়?

27

যে ওয়েবসাইটটি আমি তৈরি করছি, সেগুলি জমা দেওয়ার আইপি ঠিকানাগুলি লগ করার পরিকল্পনা করছি, যদি প্রয়োজন হয় তবে। আমি প্রক্সিগুলিতে কিছু মনে করি না, তবে আপনার আইপি ঠিকানার স্পষ্টভাবে মিথ্যা করা উদ্দেশ্যটিকে পরাভূত করবে।

একটি সম্পূর্ণ জিইটি ক্রিয়া সম্পাদন করার জন্য, (আপনি গ্রহণ করেছেন বা তা দিয়ে গেছে কিনা তা নির্বিশেষে) একটি বৈধ আইপি ঠিকানা প্রয়োজন? অথবা কোনও ওয়েবসাইট এলোমেলো স্পুফড আইপি অ্যাড্রেসগুলির পোস্টগুলির সাথে স্প্যামযুক্ত হবে?

(পোষ্ট কি অন্যরকম?)

ip  http  spoofing 
TND
সূত্র
2
আর একটি পন্থা হ'ল ডাকডাকগো দ্বারা নেওয়া: তারা আইপি ঠিকানাগুলি ট্র্যাক করে না, যদি তাদের কাছে জিজ্ঞাসা করা হয়। তাদের গোপনীয়তা নীতি duckduckgo.com/privacy.html#s3দেখুন । আপনি "কেবল প্রয়োজনের ক্ষেত্রে" বলছেন - কেন এটি প্রয়োজনীয় হতে পারে আপনার ভাল ধারণা আছে?
র‌্যান্ডি অরিসন

উত্তর:

31

না, হ্যাঁ অথবা হতে পারে. আপনি কোথা থেকে আপনার "আইপি ঠিকানা" ডেটা পাবেন এবং আপনি সেগুলি বিশ্বাস করেন কিনা তার উপর নির্ভর করে।

আপনি যদি নিজেরাই আইপি প্যাকেটগুলি থেকে ঠিকানাটি নিচ্ছেন তবে আপনি বিশ্বাস করতে পারেন যে যে প্যাকেট পাঠিয়েছে তার সেই আইপি ঠিকানায় প্রেরিত প্যাকেটে অ্যাক্সেস রয়েছে। এর অর্থ হতে পারে যে এটি আইপি ঠিকানার বৈধ ব্যবহারকারী (বোটনেটস, উন্মুক্ত প্রক্সি এবং টরের এই যুগে যথাযথভাবে "বৈধ" শব্দের সীমিত মানগুলির জন্য), বা যে প্যাকেট প্রেরণ করেছে তার একটি মধ্যবর্তী সিস্টেমে অ্যাক্সেস রয়েছে এবং আপনি যে প্যাকেটগুলি প্রেরণ করছেন সেগুলি তারা যেতে যেতে দেখতে পাবে।

তবে বিপরীত প্রক্সিগুলির বিস্তৃত ব্যাখ্যার সাথে, আইপি প্যাকেটটি প্রায়শই সংযোগের উত্সকে ভুলভাবে উপস্থাপন করতে পারে এবং তাই প্রক্সি দ্বারা "প্রকৃত" উত্সের আইপি ঠিকানাটি সরবরাহ করার অনুমতি দেওয়ার জন্য বিভিন্ন এইচটিটিপি শিরোনাম চালু করা হয়েছিল। এখানে সমস্যাটি হ'ল যে কেউ সঠিক তথ্য সরবরাহ করতে শিরোনামটি পাঠাচ্ছে তাকে বিশ্বাস করতে হবে। এছাড়াও, ডিফল্ট (বা বিভ্রান্ত কপিরাইট-পাস্তা'ড) কনফিগারেশনগুলি আপনাকে সহজেই সেই শিরোনামগুলির স্পোফিংয়ের জন্য উন্মুক্ত রাখতে পারে। অতএব, কোনও বিপরীত প্রক্সিগুলি আপনার অনুরোধগুলির সাথে বৈধভাবে জড়িত কিনা তা আপনাকে সনাক্ত করতে হবে এবং সেগুলি (এবং আপনার ওয়েবসভার) সঠিকভাবে কনফিগার করা এবং সুরক্ষিত হয়েছে কিনা তা নিশ্চিত করতে হবে।

বোকা
সূত্র
23

না।

টিসিপি সংযোগগুলির জন্য (যা HTTP ব্যবহার করে) দ্বি-দিকনির্দেশক যোগাযোগের প্রয়োজন। আপনি SYNসহজেই কোনও প্যাকেটের উত্স আইপি ছদ্মবেশী SYN-ACKকরতে পারলে, সার্ভারের প্রতিক্রিয়া আপনাকে প্রাথমিক প্যাকেটে যে আইপি ছুঁড়েছে সেই আইপিতে পাঠানো হবে - আপনি সার্ভারের কাছ থেকে প্রতিক্রিয়া না দেখলে সংযোগটি সম্পূর্ণ করতে পারবেন না।

যাইহোক, টোরের মতো বেনামে প্রক্সিং সরঞ্জামগুলি কোনও সংযোগের উত্সকে সহজেই বেনামে দেওয়ার একটি উপায় সরবরাহ করতে পারে - মনে রাখবেন যে এটি আইপি নিষিদ্ধ করে সহজেই স্প্যাম নিয়ন্ত্রণকে পরাস্ত করতে পারে।

শেন ম্যাডেন
সূত্র
12

সংক্ষিপ্ত উত্তর .. আজ আপনি পারবেন না।

অতীতে কম্পিউটারগুলি টিসিপি ট্র্যাফিকের ক্রম সংখ্যায় খুব অনুমানযোগ্য ছিল। এর অর্থ একটি আক্রমণকারী বৈধ ট্র্যাফিক প্রেরণ করবে যতক্ষণ না এটি সিক্যুয়েন্স নম্বরগুলি বের করে এবং পরবর্তী কী হবে সে সম্পর্কে খুব ভাল অনুমান করতে পারে। তারপরে এটি একটি স্পোফড আইপি ঠিকানার নকল করতে টিসিপি ট্র্যাফিক প্রেরণ করবে এবং অন্য প্রান্তের হোস্ট বিশ্বাস করবে। সুতরাং আপনি ত্রি-মুখী হ্যান্ডশেক জাল করতে পারেন ।

আজ এবং আমি 10+ বছর বলব .. কম্পিউটারগুলি এলোমেলোভাবে তৈরি করার চেয়ে অনেক বেশি ভাল তাই অসম্ভব না হলে এটি বেশ শক্ত। আক্রমণকারীর পক্ষে এটি করা আমার মতে সময় নষ্ট হবে।

মাইক
সূত্র
8

এইচটিটিপি টিসিপিতে চলে। টিসিপি কাজ করার জন্য, জিইটি বা পোষ্ট অনুরোধ জারি করার জন্য আপনার যথেষ্ট পরিমাণে পৌঁছানোর আগে আপনার সম্পূর্ণ 3-ওয়ে এসআইএন / এসি হ্যান্ডশেক দরকার, যাতে একটি সাধারণ স্পোফড উত্স বেশি কিছু করতে পারে না। স্পুফিংয়ের আরও আরও উন্নত ফর্মগুলি (এমআইটিএম) এখনও কার্যকর হবে।

techieb0y
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.