Discussion :

[fredo2009]

Bonjour,

Je souhaite tester mon script antibrute force.
Il fonctionne comme ceci:
si nombreuses requetes dans un cours laps de temps avec la même ip, je bannis l'ip.

Donc si l'attaquant flood en utilisant un proxy, ce sera l'ip du proxy qui sera banni, et il lui faudra utiliser un autre proxy. Peu importe les valeurs renvoyées par FORWARDER_FOR ou VIA etc..., je ne regarde que REMOTE_ADDR.

Maintenant si je considère que l'attaquant n'utilise pas de proxy, comment peut-il bypasser mon antibruteforce?
Peut-on modifier (avec une en-tête http ou autre) la valeur de $_SERVER[REMOTE_ADDR renvoyé par mon serveur?
Ou bien est-il obligé de forger lui-même ses paquets ip? Au risque de ne pas recevoir de réponse du serveur.

Merci

[kaymak]

Maintenant si je considère que l'attaquant n'utilise pas de proxy, comment peut-il bypasser mon antibruteforce?

Salut,

Simple ?
Pas tellement.
Mais en utilisant un botnet, un groupe de machine zombie controlé à distance par un maitre d'oeuvre, ton système n'y verra que du feu.

C'est très classique dans le cas des attaques de déni, à cause de la puissance développée, sa fonctionnerait tout aussi bien, même mieu pour du forcebrute, plus encore lorsque la protection utilise l'ip comme dans ton cas.

a plus

[TwAzO]

Pour moi le meilleur anti-bruteforce actuel, c'est un bon gros mot de passe du style Ty45$^^bnè

Avec un peu de chance, un hack3rz mettra un petite centaine d'années à cracker un mdp

Bon je sais ça aide pas mais bon...

[meliandah]

Sinon tu ne bannis pas l'IP mais créer une session et détecte l'utilisateur a la session, après si tu vois que c'est la même session qui retente une 3eme fois ou plus, tu peut mettre un SLEEP qui double de temps d'attente dans le script PHP a chaque tentative, voir même un DIE si sa persiste, comme sa tu ne surchargera pas ton serveur et l'autre ne saura jamais s'il l'a trouver ou pas car le script s'arretera.

[kaymak]

oui,
mais non car il n'est pas dit que l'attaquant ré utilisera la session en cas d'échec, on peut même penser qu'il fera exprès de la ré initialiser.

Par contre tu peux mettre un flag sur l'utilisateur dans la bdd.

[Fladnag]

si un utilisateur forge des paquets avec une REMOTE_ADDR différente de la sienne, il peux faire un DOS, mais il ne pourras pas récuperer la réponse de ton site... donc pas de brute force avec cette maniere.

Autre solution qui se rapproche de celle des autres, une fois que ton utilisateur est "détecté", tu ne change rien a ton comportement habituel, mais tu ne vérifie plus le mot de passe, tu renvoie FALSE a chaque fois ;o) comme ca il peut toujours s'amuser a brute force... ad eternam.
Evidemment ca protege pas d'un DOS, mais uniquement d'une attaque brute force

[meliandah]

Sinon utilise ce qui se fait le plus :o une image non vectorielle indiquant des lettre et chiffres aléatoires à entrer au moment du login avec le reste .