这有点微妙,引入其他身份验证/保护层会很麻烦。
我对网络的理解不是很好,因为这不是我的专业,但在我的脑海中,我构想了以下情况:
1. 有人知道我们某个应用程序服务器的IP地址,并想伪造它以访问他所知道的其他应用程序,他知道该应用程序的侦听套接字和协议。 2. 因此,他更改其IP数据包的头文件以将Web服务器IP作为发件人。
接下来会发生什么?
A:他的ISP拒绝该数据包并说:“嘿,那不是你从我的分配的IP地址。” - 问题解决
B:ISP将数据包传递给下一级(上行...)
假设ISP已被攻击或数据包未经检查而被传递(我不知道是否是这种情况)
接下来会发生什么?
A:运营商拒绝数据包并说:“嘿,该IP不在我们同意您操作的IP范围内!”-如果我的Web服务器没有由攻击者入侵的与我相同的ISP运营商,则问题解决
B:ISP未检查数据包或已被攻击并将其转发到上行链路。
现在我确信通过路由器传递IP地址时会进行检查和过滤。否则,这将是完全的无政府状态。
因此,想要伪造我的IP地址的攻击者需要入侵负责Web服务器所在IP范围的同一ISP,或者该ISP不进行数据包检查。
这正确吗?
好的,现在我想象一下我的服务器位于办公室,其ISP是地区有线电视公司。
从我的IP地址发送数据包需要哪些步骤?
(当然,我只是想了解风险并选择适当的保护!)
我想象定位路由站点,通常在街边的某个小容器中,仅受锁保护。进去。更换电缆或插入自己。
如果您知道自己在做什么,这很可能会起作用,还是需要使用存储在真实办公室调制解调器上的密钥进行加密握手以建立经过身份验证的连接?
我谈论的是有关今天的标准的有线互联网。
最后一个想法:因此,如果我的源服务器不是一些家庭ISP,它的站点易受攻击,那么我应该相当安全,对吗?
我记得NFS服务器默认仅依赖于IP身份验证。因为这很常见-是否有任何示例显示伪造IP地址的NFS服务器被黑客攻击?
我意识到这个问题表达得非常含糊。这是因为我不确定我在这里说的任何事情。我只是想提供一些输入,其中我认为洞穴可能存在,以便它们可以得到确认或排除。
总体而言,我感谢任何关于这个主题的评论和你个人的想法!