Pełna wersja: [PHP]Blokowanie userów po IP w neo
Witam. Chciałbym zrobić skrypcik blokujący dostęp do strony po IP. Wszystko fajnie działa, ale jak zacząłem kąbinować to doszedłem do wniosku, że IP w neostradzie się zmienia i user mający neo może wejść na strone gdy mu sie zmieni IP. Pytanie brzmi jak zrobić by blokowało tak aby nie mógł wejść?
Często jest tak, że zakres IP użytkownika zmienia się tylko na końcu(przynajmniej tak mi się wydaje) wtedy wystarczy dodać zamiast ostatnich cyfer *, ale pamiętaj, że jak inny użytkonik korzystający z neo będzie chciał wejść na Twoją stronę z dobrymi zamiarami a akurat dostanie IP z zakresu zbanowanego to może już na nią nie wrócić :/
no właśnie. chce zrobić takie zabezpieczenie, że jak ktoś będzie chciał shakować w jakiś sposób moją strone to blokuje mu dostęp. I właśnie w neo jest problem bo połączy się z netem od nowa i już możę się bawić dalej. A w jaki sposób są sprawdzane hosty?? Może po hoście sprawdzać?
Nie wiem jak jest po hoście, ale jeśli masz znajomego z neo, to możesz sobie sprawdzić.
Ogółem mam wrażenie, że się nie da. Nawet jeśli hosta zablokujesz, to nie będą mogły wchodzić inne osoby, rozwiązanie moim zdaniem niezbyt fajne.
Zabezpieczenia serwisu powinny się opierać nie na blokowaniu użytkowników (nie problem wejść z kawiarenki/szkoły/uczelni/kumpla i dalej psuć) a na kodzie strony
Ogółem mam wrażenie, że się nie da. Nawet jeśli hosta zablokujesz, to nie będą mogły wchodzić inne osoby, rozwiązanie moim zdaniem niezbyt fajne.
Zabezpieczenia serwisu powinny się opierać nie na blokowaniu użytkowników (nie problem wejść z kawiarenki/szkoły/uczelni/kumpla i dalej psuć) a na kodzie strony
rejestracja użytkowników >> logowanie >> blokowanie "złych" kont.
Całkiem zablokować nie damy rady, zawsze może skorzystać z innego komputera, założyć nowe konto...
Jednak w tym wypadku z doświadczenia wiem ze nie chce się tych kont zakładać
Całkiem zablokować nie damy rady, zawsze może skorzystać z innego komputera, założyć nowe konto...
Jednak w tym wypadku z doświadczenia wiem ze nie chce się tych kont zakładać
Ja zabezpieczam zobie stronki w ten sposób, że loguje wszystkie "naruszenia" bezpieczeństwa takie jak:
- nieuprawnione wejście na daną podstronę
- brak jakiegoś parametru wywołania funkcji, lub jego niewłaściwy typ
Wtedy bardzo szybko widać kto, co i gdzie próbował wykombinować. Zawsze można potem policji dokładny log dostarczyć.
Coś takiego jak opisujesz dałoby się zrobić w oparciu o prostą bibliotekę (taką jak moja) logującą wszystkie próby włamań. Algorytm jest prosty:
- Jeśli dokonano wykroczenia, to logujemy ip, datę etc + MAC adres urządzenia sieciowego (np. z pomocą nmapa - nikt Ci go nie pozwoli odpalić na serwerze, chyba, że masz własny)
- Przy każdym wejściu na stronę użytkownika, sprawdzany jest MAC adres jego urządzenia sieciowego i porównywany z black listą.
Takie rozwiązanie by się sprawdziło przeciw szkodnikom działającym na otwartym internecie. Jak ktoś jest za NAT'em, to zablokujesz całą jego sieć.
Problemem też będzie wydajność - skanowanie nmap'em (czy innym skanerem) trochę trwa. Zmienna "trochę trwa" musisz teraz przemnożyć przez ilość użytkowników odwiedzających serwis w ciągu jednej minuty i będziesz miał jakiś obraz sytuacji.
MAC adres oczywiście też się da zmienić, ale ludzie raczej tego nie robią - za NAT'em przypadki zupełnie nie zabezpieczonych sieci zdarzają się często (ten hydepark wykorzystywany przez ludzi lubiących za darmo używać sieci wi-fi), ale na otwartych wodach internetu zmiana MAC'a jest raczej związana w wymianą urządzeń.
Lepiej jest logować sobie wszystkie wykroczenia (będą w razie czego jakieś dowody dla policji) a później sprawdzać jaki element strony (poza logowaniem) jest najczęstszym celem ataku.
- nieuprawnione wejście na daną podstronę
- brak jakiegoś parametru wywołania funkcji, lub jego niewłaściwy typ
Wtedy bardzo szybko widać kto, co i gdzie próbował wykombinować. Zawsze można potem policji dokładny log dostarczyć.
Coś takiego jak opisujesz dałoby się zrobić w oparciu o prostą bibliotekę (taką jak moja) logującą wszystkie próby włamań. Algorytm jest prosty:
- Jeśli dokonano wykroczenia, to logujemy ip, datę etc + MAC adres urządzenia sieciowego (np. z pomocą nmapa - nikt Ci go nie pozwoli odpalić na serwerze, chyba, że masz własny)
- Przy każdym wejściu na stronę użytkownika, sprawdzany jest MAC adres jego urządzenia sieciowego i porównywany z black listą.
Takie rozwiązanie by się sprawdziło przeciw szkodnikom działającym na otwartym internecie. Jak ktoś jest za NAT'em, to zablokujesz całą jego sieć.
Problemem też będzie wydajność - skanowanie nmap'em (czy innym skanerem) trochę trwa. Zmienna "trochę trwa" musisz teraz przemnożyć przez ilość użytkowników odwiedzających serwis w ciągu jednej minuty i będziesz miał jakiś obraz sytuacji.
MAC adres oczywiście też się da zmienić, ale ludzie raczej tego nie robią - za NAT'em przypadki zupełnie nie zabezpieczonych sieci zdarzają się często (ten hydepark wykorzystywany przez ludzi lubiących za darmo używać sieci wi-fi), ale na otwartych wodach internetu zmiana MAC'a jest raczej związana w wymianą urządzeń.
Lepiej jest logować sobie wszystkie wykroczenia (będą w razie czego jakieś dowody dla policji) a później sprawdzać jaki element strony (poza logowaniem) jest najczęstszym celem ataku.
Każde rozwiązanie jest dobre lecz nie każde do końca blokuje. Mógłbym zrobić tak z neo, że blokuje ip bez koncówki czyli np 85.135.45.* i wysyła mi maila z jakiej strony to blokneło i ja sobie patrze co to było i podejmuje dalsze decyzje albo wyprintować na stronie, żeby user wysłał maila z prośbą o odblowowanie.
Witam.
Odnośnie skutecznego blokowania neostrady po IP jest na to sposób, jak powiedział ArekJ.
Adresy IP przydzielane podczas łączenia z DHCP zmienne mają tylko dwa ostatnie oktety. Oczywiście, jeśli zastosujesz ten sposób wytniesz prawdopodobnie całą większą dzielnicę, ale IMHO innego, lepszego sposobu na buraków z neo nie ma.
Dodatkowo nie możesz zapominać, że są też inni ISP, którzy przydzielają dynamicznie adresy IP. Z tego co zaobserwowałem wygląda to podobnie do neostrady, czyli także dwa ostatnie oktety.
Odnośnie skutecznego blokowania neostrady po IP jest na to sposób, jak powiedział ArekJ.
Adresy IP przydzielane podczas łączenia z DHCP zmienne mają tylko dwa ostatnie oktety. Oczywiście, jeśli zastosujesz ten sposób wytniesz prawdopodobnie całą większą dzielnicę, ale IMHO innego, lepszego sposobu na buraków z neo nie ma.
Dodatkowo nie możesz zapominać, że są też inni ISP, którzy przydzielają dynamicznie adresy IP. Z tego co zaobserwowałem wygląda to podobnie do neostrady, czyli także dwa ostatnie oktety.
yhy. Połącze wszystko w jedno, czyli będę zapisywał każdy ruch usera do logu; jeżeli user będzie chciał shakować blokuje dostęp po IP jeżeli neo to blokuje dwa ostatnie oktety, jeżeli nie to całe IP. Jeżeli user będzie chciał korzystać to napisze wytłumaczenie. Chyba to będzie najlepsze rozwiązanie.
Thx all za pomoc
Thx all za pomoc
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.