поэтому предположим, что я определяю IP-адрес пользователя, используя некоторый код для выполнения ограничений....
есть ли способ для пользователя обойти это, произвольно установив свой IP-адрес на любой IP-адрес, который они хотят, в любое время (например, через прокси-сервер или что-то еще), что позволяет им выбрать конкретный IP-адрес, который будет отображаться, когда я его обнаружу
Существует несколько туннелирования и на основе прокси, которые эффективно представляют IP-адрес, отличный от IP-адреса исходного компьютера, для любых HTTP-запросов. Я упомянул несколько методов в этом ответе, а также здесь. Во многих случаях фактически невозможно отличить ретранслируемое соединение от реального...
Как правило, вы не можете подделать в качестве источника TCP-соединения в Интернете произвольный адрес по ряду причин, некоторые из которых:
TCP — это протокол с отслеживанием состояния, и пакеты передаются туда и обратно даже для того, чтобы установить соединение. Подделка исходного IP-адреса означает, что вы не сможете вернуть какие-либо пакеты.
Некоторые интернет-провайдеры будут отбрасывать пакеты, сгенерированные в их собственной сети, которые не имеют исходного IP-адреса в соответствующей подсети. Обычно это делается на уровне подключения клиента, чтобы защитить сеть интернет-провайдера и предотвратить утечку информации о клиенте из случайных пакетов в Интернет из-за простых проблем с неправильной настройкой на стороне клиента.
Фильтры интернет-провайдеров также не позволят пользователям просто установить произвольный IP-адрес — если не по какой-либо другой причине, то только потому, что интернет-провайдеры продают соединения со статическими IP-адресами по значительно более высоким ценам, и если пользователи будут устанавливать свои собственные IP-адреса, это испортится. это. Не говоря уже о беспорядке, который может возникнуть, если между клиентами провайдера могут возникнуть конфликты IP...
Таким образом, вы не можете просто подделать источник TCP-соединения. Вы должны использовать промежуточный компьютер для ретрансляции соединения.
Однако имейте в виду, что мотивированные и опытные злоумышленники могут иметь в своем распоряжении ботнеты, состоящие из миллионов скомпрометированных компьютеров, принадлежащих невиновным пользователям. Теоретически каждый из этих компьютеров может использоваться в качестве ретранслятора соединения, что позволяет потенциальному злоумышленнику выбирать из большого количества IP-адресов.
Суть в том, что простые проверки и фильтры на основе IP ни в какой форме не могут гарантировать легитимность соединения. Вы должны использовать дополнительные методы для защиты вашего сервиса:
HTTPS и соответствующие учетные записи пользователей.
Обширное ведение журнала и мониторинг вашего сервиса.
Системы обнаружения вторжений и автоматические средства реагирования на атаки (будьте осторожны с ними — убедитесь, что вы не заблокируете себя!).
Мы не можем дать более конкретный ответ, если вы не расскажете нам, какую услугу вы предоставляете, какие ограничения вы хотите применить и какие атаки вас так беспокоят...
Вроде того, как вы упомянули, прокси-серверы представляют собой риск, однако они немного усложняют жизнь злоумышленнику, поэтому все же стоит использовать блокировку IP-адресов.
Отслеживайте свои журналы, автоматизируйте оповещения и, если атаки исходят с другого IP, также блокируйте его. Если вы достаточно усложните жизнь злоумышленнику, он может сдаться.
