¿Por qué no se usa ampliamente la detección de ataques basada en la misma solicitud de usuario desde diferentes lugares (por ejemplo, por IP)?

3

Hay muchas maneras en que un adversario puede fingir que es un usuario legítimo (como el robo de cookies de la sesión, el uso de la contraseña y lo que no), pero hasta donde puedo ver, debería ser bastante difícil para ellos pasar inadvertido si El sistema intenta protegerse contra él, por ejemplo. detectando que el mismo usuario inicia sesión desde una IP diferente dentro del corto período de tiempo y, además, continúa enviando solicitudes desde varias IP simultáneamente. Esto parece bastante evidente que, en la mayoría de los casos, algo espeluznante está sucediendo.

  • ¿Es realmente una buena indicación de un ataque exitoso y el sistema debería intentar prevenirlo de alguna manera (creo que, por ejemplo, que Google lo hace)?
  • No he visto que esto se emplee de forma generalizada, ¿es porque su implementación es bastante costosa o porque las personas tienden a confiar en la prevención del robo de identidad en primer lugar?
pregunta Ilya Chernomordik 04.02.2016 - 10:48
fuente

1 respuesta

5

Hay algunas razones por las que el direccionamiento IPv4 no se usa de esta manera:

  • Las direcciones IP no son una indicación infalible de ubicación. Los bloques de direcciones IP se asignan a las empresas y se pueden utilizar donde se requieran. Una empresa en Asia puede obtener un bloqueo de Apnic, pero luego usa parte de su asignación en América del Norte
  • Los sistemas obtienen diferentes direcciones IP todo el tiempo por razones legítimas. Se le puede asignar una dirección diferente al enrutador ADSL local del usuario, o el usuario puede iniciar sesión utilizando WIFI en Starbucks, un cambio de dirección IP no es un buen indicador de fraude
  • Un usuario puede estar usando un anonymizer o VPN de algún tipo. Un usuario que inicie sesión con Tor puede parecer provenir de una ubicación diferente por completo
  • Un usuario puede estar usando más de una vez el dispositivo para iniciar sesión al mismo tiempo. Muchas personas usan dispositivos móviles al mismo tiempo que sus computadoras portátiles, o tienen una máquina de trabajo y una máquina personal que van al mismo sitio

Todo esto es cierto con IPv4 en el que el direccionamiento IP se asigna de acuerdo con el segmento de red en el que se encuentra. El uso de cambios en la dirección IP para detectar fraudes dará como resultado demasiados falsos positivos.

Tenga en cuenta que con IPv6, la segunda mitad de la dirección es la dirección MAC del dispositivo. Como las direcciones MAC son (supuestamente) únicas, puede ser viable realizar una comprobación de fraude cuando se detecta una nueva dirección de máquina iniciando sesión en una cuenta. Esto es lo que las empresas como Facebook ya están tratando de hacer: detectar nuevos sistemas en lugar de que los IP inicien sesión.

    
respondido por el GdD 04.02.2016 - 11:23
fuente

Lea otras preguntas en las etiquetas