Можно ли доверять этой функции для определения IP?

Question

[LeonidPokrovskiy]

Насколько надежна эта функция?

function real_ip()
{
   $ip = $_SERVER['REMOTE_ADDR'];
    if (isset($_SERVER['HTTP_X_FORWARDED_FOR']) && preg_match_all('#\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}#s', $_SERVER['HTTP_X_FORWARDED_FOR'], $matches)) {
        foreach ($matches[0] AS $xip) {
            if (!preg_match('#^(10|172\.16|192\.168)\.#', $xip)) {
                $ip = $xip;
                break;
            }
        }
    } elseif (isset($_SERVER['HTTP_CLIENT_IP']) && preg_match('/^([0-9]{1,3}\.){3}[0-9]{1,3}$/', $_SERVER['HTTP_CLIENT_IP'])) {
        $ip = $_SERVER['HTTP_CLIENT_IP'];
    } elseif (isset($_SERVER['HTTP_CF_CONNECTING_IP']) && preg_match('/^([0-9]{1,3}\.){3}[0-9]{1,3}$/', $_SERVER['HTTP_CF_CONNECTING_IP'])) {
        $ip = $_SERVER['HTTP_CF_CONNECTING_IP'];
    } elseif (isset($_SERVER['HTTP_X_REAL_IP']) && preg_match('/^([0-9]{1,3}\.){3}[0-9]{1,3}$/', $_SERVER['HTTP_X_REAL_IP'])) {
        $ip = $_SERVER['HTTP_X_REAL_IP'];
    }
    return $ip;

}
echo real_ip();

У меня в системе попытки входа в аккаунт блокируются по IP - создается задержка после ряда неудачных попыток, и если неудачные попытки продолжаются, то задержка удваивается.

Функция выше как раз таки определяет IP, чтобы блокировать с этого ip попытки входа в аккаунт.

Проблема:

Может ли хакер при появлении задержки просто менять IP и продолжать попытки входа?

Если систему можно будет обдурить таким приемом, то сразу же вылезают просто невероятные дыры в безопасности:

1. Как минимум, можно с легкостью брутфорсить аккаунты
2. Опустошать бюджет сайта. Например, отправлять смс на номера телефонов тысячами. У меня на сайте после трех смс просто ставиться задержка на возможность отправку следующего смс. Но если юзер сможет дурить функцию выше то он сможет безостановочно опустошать бюджет сайта.

Вопросы:

1. Какие есть надежные способы остановить хакера?
2.Насколько надежно защищаться от таких атак просто блокируя попытки по ip?
3. Возможно ли хакеру менять ip раз в минуту, а то и чаще?

Comments

[Владислав Лысков]

А если пользователи сидят с одного ip?

[LeonidPokrovskiy]

Владислав Лысков, если пользователи не хакеры - то вообще никаких проблем. По 2 попытки входа на каждого. И то, маловероятно что они будут одновременно входить в систему и оба забудут свои номера телефонов.

Владислав, а разве могут быть по 10 человек с одного ip одновременно? У каждого устройства по идее свой ip?

[Дмитрий]

Этой функции лет десять)

[Moskus]

LeonidPokrovskiy, ну изучите хоть что-то про устройство сетей... Множество людей сидят за NAT провайдера, у них нет и не может быть разных IP. Другие пользуются VPN - та же история. Любой, при желании, может менять IP через использование переключаемых proxy-серверов.

[LeonidPokrovskiy]

Moskus, ну а как какой-нибудь ВКонтакте защищается от таких атак? Скрипт же элементарнейший для атаки. Меняем ip -> вводим номер телефона -> просим, чтобы сервер отослал смс -> Меняем ip -> вводим номер телефона -> просим, чтобы сервер отослал смс -> и так тысячи раз!

Как думаете, капча остановит это безумие?

[LeonidPokrovskiy]

Moskus, и кстати, ip то у меня блокируются для входа в конкретный аккаунт. Проблема будет только в том случае, если все юзеры с одним IP пользуются одним аккаунтом. То есть если юзер 3 раза ввел пароль в аккаунт, появилась задержка. Но вдруг он понимает, что пытался войти вообще в другой аккаунт, например, написал лишнюю букву. Просто вводит другой логин и свой пароль - и он в системе.

[SerJook]

Этой функции нельзя доверять, потому что доверять можно только значению $_SERVER['REMOTE_ADDR'], остальные значения легко подделать.
Заголовки типа HTTP_X_FORWARDED_FOR устанавливают только прозрачные прокси. Какой хакер будет использовать прозрачные прокси?

[edward_freedom]

если мне заблочат ip, я перезапущу впн и как не в чем не бывало, продолжу ломать твой сайт

[Moskus]

LeonidPokrovskiy, вы только отрывочно описали, что происходит на вашем сервисе. Вы также условно описали, какова модель угроз. Потому дать вам ответ "что делать" нельзя. Да и, похоже, вам стоит с этим обратиться к профессионалам, а не пытаться самому слепить непонятно что без знаний.

[CityCat4]

То есть, если я поменяю данные в заголовке на 172.16.1.1 - этот "сверхскрипт" просто проигнорирует значение заголовка? Офигенная "зашита".

Answer 1

[FanatPHP]

Даже не заходя в вопрос сразу можно догадаться, что будет внутри.

Разумеется, речь о ходячем анекдоте, эталоне карго культ кода, тайной функции определения "настоящего" IP адреса "за прокси", которую похапешники воображающие себя кулхацкерами десятилетиями переписывают друг у друга.

Функции, которая берет IP адрес... из НТТР заголовков. Из запроса. То есть, чтобы подделать айпи, не нужно даже прокси - достаточно добавить к НТТР запросу заголовок CLIENT_IP с рандомным айпишником.
Гениальное решение для защиты.

По пороблемам, озвченным в теле вопроса.
Расслабься.
Судя по уровню владения вопросом и уровню приближения проблемы к реальной жизни, все равно у тебя из этой борьбы с ветряными мельницами выйдет только хуже.

Вместо истерических телодвижений по защите сайта от несуществующих угроз тебе надо сделать две вещи
- избавиться от этого эталонного примера говнокода
- заняться повышением своего образовательного уровня. Для начала реализовать защиту от брутфорса без привязки к любым внешним параметрам, исключительно внутренними средствами.

Answer 2

[Антон Неверов]

Эту проблему решили уже кучу раз до вас. Почитайте об этом в интернете.
Количество IP - как мусора. Девать некуда и каждый себе может взять по 100 штук хоть в секунду. Сложнее наоборот, иметь один и тот же IP.

Чётко по теме:
1. Cloudflare - это умный сервис, который делает гору всего, чтобы защитить вас от всего в этом мире.
2. Примерно на 1%.
3. Да, возможно.

Comments

[LeonidPokrovskiy]

Антон, как думаете, если просто поставить капчу перед тем, как начать звонок, насколько это поможет в противостоянии хакеру? За Cloudflare спасибо.

[Антон Неверов]

Зависит от хакера. Это такой же "дуршлак", совсем уж халтурных ботов отсеет - остальные пройдут. Капча разгадывается уже даже роботом. Если это не вредит пользовательскому опыту - то, конечно, лучше навернуть какую-нибудь recaptcha. Но не рассчитывайте, что ваши проблемы сразу будут решены.

[FanatPHP]

не рассчитывайте, что ваши проблемы сразу будут решены.

Учитывая, что проблемы тут все умозрительные, любое решение будет работать на 100%.

[LeonidPokrovskiy]

FanatPHP, я не хочу ждать, когда юзеров на моем сайте начнут взламывать и опустошать бюджет моего сайта всякие злые дяди. Я хочу решить проблему как можно раньше, поэтому и советуюсь. Возможно реальная угроза будет не скоро, возможно ее вообще не будет. Но как бороться с таким типом угроз мне знать стоит. Я сейчас как раз изучаю этот вопрос.

[lamma4ka]

LeonidPokrovskiy, Когда защищаются от злых дядек ставят вопросы не про IP и сколько раз в минуту он может меняться, а несколько другие вопросы.
Например:
1. На кой ляд злым дядькам сдался мой сайт.
2. Какую финансовую выгоду они могут поиметь?
3. Какой ущерб они могут нанести мне.
4. Какой ущерб может быть нанесён посетителям (клиентам)
5. Какими средствами можно обезопасить используемые технологии, если в одной из них обнаружится уязвимость.
и так далее. Исходя из ответов на правильные вопросы, выбирается решение от кардинального в виде сейфа с отключенным сервером, который охраняют вооруженные омоновцы, до каких-то иных компромиссных мер.

Сейчас вы рассуждаете о сферическом коне в вакууме и думаете, что одной методикой вы всех победите.

[LeonidPokrovskiy]

Дмитрий, Я так не думаю. В вашем списке перечислены очевидные вещи. Это был мой последний комментарий в ваш адрес

Answer 3

[grabbee]

У меня в системе попытки входа в аккаунт блокируются по IP

Ну я просто блокирую вход в аккаунт после ~3-5 ошибок. На 12 часов или сутки. Войти легко, указав почту, и блокировка снимается. Безо всяких IP и вообще. Здесь важно понимать, что есть долгоживущая сессия, и люди самим "входом" пользуются 2 раза в год.