Сложно ли подделать IP апдрес при запросе $_SERVER['REMOTE_ADDR']?

Question

[Дмитрий]

Добрый день, уважаемые участники форума. Прошу помочь советом .
У меня есть сайт в базу данных которого записываются активные токены после аутентификации. В базе содержится информация :
ID токена
Ключ токена
Активный токен или нет ( 0 или 1 )
И IP адрес с которого зашёл авторизованные пользователь.
Так же на сайте есть отдельный PHP скрипт, который работает сам по себе. Данный PHP скрипт перед началом работы делает запрос в базу данных основной сайта и сравнивает IP из базы данных с $_SERVER['REMOTE_ADDR'] и если они совпадает и есть активный токен с таким IP, тогда скрипт продолжает работу.

Вопрос: Получается, что решение запускать скрипт или нет идёт только на основании совпадения IP адреса . Насколько токая проверка надёжна и сложно ли подделать IP адрес в моём случае .

Comments

[Ипатьев]

можно спросить?
Какое отношение к подделке IP адресов имеет база данных mysql?

[Дмитрий]

в базе данных хранятся ip адреса авторизованных пользователей с активными токенами авторизации

[Vitsliputsli]

ChairfaceChippendale, слишком сложно и малоэффективно. Нужен подконтрольный маршрутизатор, нужен RIP, подменить сможешь только диапазон этой сети, без RIP только для подконтрольного маршрутизатора. Поэтому практически мало шансов с таким столкнуться.

Answer 1

[Ипатьев]

Насколько я помню сетевые технологии, к которым на самом деле относится вопрос "Можно ли подделать IP адрес", подделать исходящий адрес в TCP заголовке можно. И такой запрос пройдет проверку. Но ответ на него уйдет на этот поддельный IP. То есть соединение оборвется на этапе TCP хэндшейка

Отсюда можно сделать вывод: подделать адрес можно, но это не поможет сделать что-то вредоносное.

Если поставить этому вопросу нормальные теги, а не взятые с потолка, то ответят настоящие специалисты в этом вопросе.

Comments

[Дмитрий]

Благодарю)

[Lynn «Кофеман»]

Насколько я помню в TCP прежде чем пойдут данные клиент и сервер должны обменяться пакетами SYN, SYN-ACK, ACK. Так что так просто подделать запрос не выйдет, потому что SYN-ACK уйдёт на поддельный адрес и соединение не установится.

[Ипатьев]

Lynn «Кофеман», о, спасибо! Вот это я не учёл! Поправлю ответ.

Answer 2

[Rsa97]

В общем случае такая проверка вредна.
Пользователь может работать через нестабильное соединение. Тогда при каждом переподключении ему может выдаваться новый IP-адрес.

Comments

[Надим]

Проверку IP имеет смысл делать, но чисто ради ведения статистики, чтобы если какой-то адрес начнет слишком частить с запросами, отправить его в бан.

[Дмитрий]

Большое спасибо за ответ.
1) Но всё таки сложно ли подделать IP ?
2) Может быть есть какой то другой способ проверить авторизован ли пользователь? Например присвоить сессии ключ токена и проверять по нему. К сожалению включить в основной сайт данный скрипт не могу (

[Rsa97]

Надим Закиров, А если это просто группа компьютеров за одним внешним IP-адресом через NAT или прокси?

[Надим]

Rsa97, токены будут разные тогда, по ним и будет понятно, это атака или просто множество пользователей.

[Ипатьев]

Надим Закиров, а вы точно делаете "боты и парсеры"?
потому что для человека, который действительно этим занимается, ваша реплика выглядит несколько наивной, не сказать больше.

[Дмитрий]

Rsa97, Вы совершенно правы . Система не надёжна

[Дмитрий]

Надим Закиров, Правильно ли я понимаю, что нужно добавить дополнительную проверку по токену из базы данных?

[Надим]

Дмитрий, нужно поставить лимит на количество запросов в единицу времени для связки токен + IP адрес. Разумеется, предполагается, что у вас нельзя гигатоннами регать токены, тогда это все бесстолку, так как атакующему ни что не помешает сгенерировать столько токенов, сколько нужно для успешного ддос.

[Rsa97]

Надим Закиров, А тогда зачем вообще проверять IP? Достаточно токена.

[Надим]

Rsa97, я не знаю, но площадки под которые я пишу парсеры все же проверяют количество запросов с одного IP, вероятно в этом есть какой-то смысл. Но так-то да, признаю логику, что по идее достаточно токена, главное сами токены выдавать только после строгой проверки, ну там письмо на почту или смс с кодом.

[Дмитрий]

Проблема в том, что я не могу понять как сделать правильно проверку по токену.
Я делаю так :

session_start();
$ref = $_SERVER['REMOTE_ADDR'];
require'conn.php';
$query = "SELECT * from  token where ip Like '%$ref%' AND active Like '1'  ";
		$result = mysqli_query($conn,$query); 
		$user = mysqli_fetch_assoc($result);
		
		if (!empty($user)) {
$_SESSION['nim'] = true;
}
if (isset($_SESSION['nim']) && $_SESSION['nim'] === true) : ?>

т.е. происходит запрос в базу данных на поиск IP с активным токеном. Если значения совпадают с $_SERVER['REMOTE_ADDR'] , то $_SESSION['nim'] присваивается значение true и скрипт работает дальше.
НО!
Я я не могу понять как как переменной присвоить id токена , так что бы она не менялась.
Т.к. если сделать так же но с поиском и присвоением токена к переменной, то при новом обращении с другого браузера скрипт так же нейдёт id токена и присвоит значение переменной и потом опять сравнит одно с другим и запустит работу дальше...

[Ипатьев]

можно спросить?
А в чем смысл писать Like '%$ref%'?
И проверку по токену вы тоже планируете так делать? У меня для вас очень плохие новости.

[Ипатьев]

по-хорошему, здесь надо задать новый вопрос, про исходную задачу. а не про совершенно левые фантазии про айпи адрес

[Дмитрий]

Ипатьев, Понял, спасибо за интерес к вопросу. Сейчас сформирую вопрос

Answer 3

[Aetae]

Во-первых: ip для этого не стоит использовать вообще, это вещь перементивая.
Во-вторых: в теории REMOTE_ADDR не подделать, но то в теории, потому что всякая кака на твоей стороне любит его подменять для удобства. Например нередко можно встретить глубоко в чужом коде подобную дыру:

if(isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { 
$xffaddrs = explode(',',$_SERVER['HTTP_X_FORWARDED_FOR']); 
$_SERVER['REMOTE_ADDR'] = $xffaddrs[0]; 
}

Comments

[Ипатьев]

и вспомнить известный кейс, как Энтони Феррара взломал стаковерфлоу :)
https://habr.com/en/post/158417/

[VVCh]

Это не дыра,
Это попытка получить реальный ip, например с cloud

[Aetae]

VVCh, почему это дыра - читай в статье указанной Ипатьев выше.)

[VVCh]

статья 12-года!!!
Вывод НЕ доверяй!!!
также нельзя доверять и REMOTE_ADDR

Но ГДЕ дыра, если эту дыру сделали разработчики?

[Ипатьев]

VVCh, надо не на дату смотреть, а на смысл.
Смысл там простой, как две копейки.
И особенно важно понять таким вот получателям "реального ip с cloud"

[VVCh]

между пользователем и сервером образовалась прокладка
Которая, возможно подменила что-то

А у вас на сервере установлен какой-нибудь апи, с доступом по ip
А из облака они приходят с облачным ip REMOTE_ADDR (ой, измена!!!)

Вот только не надо про "ip для этого не стоит использовать вообще"

Где дыра?

[Ипатьев]

VVCh, в статье подробно объяснено.
Для начала надо научитсья не путать IP адрес с НТТР заголовками.

[VVCh]

Вы так и не написали где дыра?
А далее - можем обсуждать.

Потому как...

Во-первых: ip для этого не стоит использовать вообще, это вещь перементивая.

Но цель

Вопрос: Получается, что решение запускать скрипт или нет идёт только на основании совпадения IP адреса . Насколько токая проверка надёжна и сложно ли подделать IP адрес в моём случае .

На это вопрос также есть ответ

некоторые хостеры, (да-да, встречаются такие) подставляют в REMOTE_ADDR адрес хоста.

"А суслик есть" (с)

Answer 4

[Армянское Радио]

Целый микрорайон, или даже город, может сидеть в интернетике с одного адреса. Так что ваша проверка - просто лажа.
Используйте нормальные очереди (RabbitMQ, Kafka) и не занимайтесь колхозом.