是否可以欺骗或冒充服务器的IP? 那么希望连接到该服务器IP的客户端实际上是否会连接到攻击者的计算机? 但是攻击者仍然可以联系实际的服务器。
这是基于TCP / IP的,没有名称解析,并且所有计算机都在同一网络或互联网上(无NAT)。
我正在开发一个网络应用程序,我想建立一些身份验证。
我需要做的是通过IP验证服务器。换句话说,我想确保当我打开到IP地址的HTTPS URL时,它将转到具有该IP的机器。
其他说明: 所有通信都将通过TLS,但证书将被盲目接受。
答案 0 :(得分:1)
我需要做的是通过IP验证服务器。换句话说,我想确保当我打开到IP地址的HTTPS URL时,它将转到具有该IP的机器。
这是HTTPS(SSL / TLS)的一项功能 - 它可以防止MITM攻击并阻止目标服务器被模拟。
其他说明:所有通讯都是通过TLS进行的,但证书会被盲目接受。
这很好,但是你需要阻止证书被盲目接受。您应该检查证书的公用名或主题是否与您希望与之联系的服务器匹配。您还应该检查根证书是否是您选择信任的证书(您可以创建自己的受信任的根证书)。这样可以防止服务器证书被攻击者欺骗,因为他们无法使用根证书签署证书。
另一种选择是certificate pinning。这将使您的应用程序仅与预先设置的可信证书列表进行通信,这些证书可以硬编码到您的应用程序中,也可以与应用程序服务器上的外部人员无法访问。
答案 1 :(得分:0)
是的,如果你可以进行中间人攻击。局域网中的邪恶透明代理可以做到这一点。