[gull] Web server and changing IPs

[Daniel Cordey]

On Tue, 31 Aug 2010 17:03:23 +0200 - Olivier Evalet <evaleto at gelux.ch>
wrote:

> Je pose la question par curiosité, je me place en béotien . Si le
> serveur reçoit ces requêtes avec des ip différentes c'est qu'il y a un
> aiguillage? un truc comme ça:

Exactement.

Cala s'appelle "intercepting proxy". Ce type de "serveur" est
techniquement possible mais est plus que fortement decourage. Ceci pour
la simple et bonne raison qu'il est impossible de detecter un serveur
"d'intrusion" d'un serveur "sain"... Le RFC 3022 precise donc qu'un
proxy doit toujours monter une seule adresse IP au monde exterieur.
Cela est surtout vrai dans le cas ou l'on a >1 serveur proxy (load
balancing etc.). 

Donc, je j'envoie en page html contenant :

<html>
...
<img...>
<img...>
...
</html>

Et que je recoive les requetes (GET) pour mes deux images depuis deux
adresses IP differentes, je suis en droit de me poser des questions...

Depuis pres de 6 mois,nosu avons detecte la chose suivante :

Envoi de la page HTML xxx.xxx.xxx.xxx
GET image1... from IP xxx.xxx.xxx.xxx
GET image2... from IP aaa.aaa.aaa.aaa
GET image2... from IP xxx.xxx.xxx.xxx

Je precise que le temps ecoule entre les deux dernier GET est de
quelques centaines de millisecondes. De plus, l'adresse IP
aaa.aaa.aaa.aaa fait partie d'un botnet identifie !!!

L'un des moyen de se premunir contre cette tentative d'interception et
de verifie les adresses IP. Des reception d'une adresse IP differentes
de celle recue lors de la procedure de login la session est invalidee !

Le probleme est qu'un de nos client a sous-traite le proxy a une
societe qui fait du load-balancing avec deux proxy, et que nous
recevons les requetes avec des addresses qui changent durant la
session. 

> C'est étrange comme chemin mais si c'est ce que je comprend, les
> proxya/proxb ont forcément des ip différentes. 

Oui, raison pour laquelle il est demande de faire du NAT/Masquerading.

dc