¿Es trivial eludir el bloqueo de IP?

7

Hay un sitio con bloqueo de IP. Cuando un cliente hace demasiados intentos no válidos al adivinar, p. contraseña, entonces su dirección IP se bloquea.

He escuchado sobre la suplantación de IP y ataques similares. ¿Puede un atacante falsificar su dirección IP y continuar con sus intentos de adivinar contraseñas?

Si es importante, el sitio utiliza HTTPS y HSTS.

    
pregunta Andrei Botalov 18.03.2012 - 20:06
fuente

5 respuestas

11

Esencialmente depende del atacante y de los recursos que tengan disponibles. Los usuarios domésticos comunes o los atacantes que no son muy dedicados pueden ser disuadidos por el bloqueo de la dirección IP de origen, pero los atacantes más avanzados / determinados tienen varias formas de evitar esto.

Lo obvio es utilizar uno de los servicios proxy disponibles en Internet. Esto incluye cosas como ToR y Anonymizer.com. Dado que uno de los objetivos de estos servicios es enmascarar la dirección IP de origen del usuario, omitirán el bloqueo hasta que el atacante intente suficientes intentos con una IP determinada y se vuelva a bloquear.

Aparte de esto, el atacante podría causar un DoS parcial a su aplicación al recorrer suficientes sitios, ya que cualquier otro usuario que haga uso de esos servicios será bloqueado, una vez que bloquee las direcciones IP que pertenecen a ellos.

Además de los servicios en línea, el atacante podría hacer cosas como usar puntos de acceso Wi-Fi o redes de colegios / universidades para obtener acceso a más IP de origen

Entonces, esencialmente, este bloqueo haría las cosas más difíciles pero no detendría un ataque determinado.

    
respondido por el Rоry McCune 18.03.2012 - 21:12
fuente
4

No puedes simplemente falsificar IP cuando usas TCP, ya que necesitas poder recibir la respuesta. Relacionado: enlace

Sin embargo, puedes usar relés de algún tipo. Proxies, TOR, ...

El bloqueo de IP se vuelve bastante ineficaz si el atacante tiene una botnet. Eso le da muchas IPs.

    
respondido por el CodesInChaos 18.03.2012 - 20:20
fuente
4

Depende de la política de filtrado. Si se trata de una denegación explícita, en la que solo los usuarios autorizados [y, por lo tanto, las IP] se agregan a una lista blanca, puede ser una capa de seguridad bastante efectiva.

En este escenario, un atacante debería comprometer un host permitido para conectarse al sitio. El tamaño y la naturaleza de la base de usuarios autorizados determinarán qué tan difícil es esto. Los sitios que contienen contenido con licencia a menudo utilizan este tipo de control de acceso.

También tenga en cuenta que esto no describe un control de seguridad a prueba de balas. Como tal, debería ser una capa de un modelo de seguridad de defensa mayor en profundidad.

Donde hay una configuración de lista negra, la situación es muy diferente. Las otras respuestas describen este escenario bastante bien.

    
respondido por el lew 18.03.2012 - 22:46
fuente
0

Nadie aquí mencionó esto, así que aquí están mis 2 centavos:

Las direcciones IP dinámicas son utilizadas por muchos ISP. Tengo uno, por ejemplo. Esto significa que tan pronto como reinicio mi enrutador (lo cual es trivial, solo lo apago y lo hago, y algunas personas apagan los suyos) obtengo una nueva dirección IP.

Esto también significa que alguien más obtendrá mi antigua IP, por lo que el usuario será bloqueado de su sitio web sin ninguna razón. Además, es posible realizar una secuencia de comandos de todo esto, por lo que si el "atacante" (leído: script kiddie) sabe cómo crear un archivo de proceso por lotes, se prohibirá su IP.

Conclusión: no solo es trivial evitar esto, sino que usarlo puede incluso perjudicar a usuarios legítimos.

    
respondido por el Camilo Martin 20.03.2012 - 04:09
fuente
0

La suplantación de una dirección IP no funcionará muy bien para HTTPS, ya que primero debe hacer una conexión correcta en ambos sentidos: no puede hacerlo si las respuestas se envían a la dirección incorrecta.

La gente en la mayoría de las conexiones DSL puede simplemente reiniciar su módem / enrutador para obtener una nueva dirección IP. Para que puedan seguir intentándolo. Y las botnets tienen cientos de direcciones IP para probar. Así que no hace mucho para detenerlos.

También puede causar problemas si alguien decide aprovechar el bloqueo de IP. Algunos ISP como AOL tienen a todos sus clientes detrás de NAT y salen a Internet con solo unas pocas direcciones IP. El bloqueo de uno de ellos evitará que otras personas legítimas inicien sesión. Lo mismo ocurre con la mayoría de las oficinas y escuelas grandes: una única dirección IP podría ser realmente de 1000 usuarios.

    
respondido por el Grant 22.03.2012 - 14:19
fuente

Lea otras preguntas en las etiquetas