Отличить клиентов за NAT'ом

0

2

Привет. Вопрос в общем-то в названии - допустим, что два клиента выходят в сеть через один и тот же NAT, подключаются к http серверу, и, собственно, - как их отличть друг от друга можно? Если бы был голый tcp, то там можно пакет выпотрошить и найти инфу, а как в случае с хттп сделать? Может это какая-то элементарщина, сильно не гуглил, мысли опережают руки. Ну а нафиг мне это надо - под клиентов выделяются некоторые ресурсы, надо как-то бороться с потенциальными негодяями, хотя бы понимать как это делать.

Ссылка

←	Какие настройки прописывать для Nginx

Почему в IDE чаще встречается темная тема у разработчиков?

→

Второй раз советую FingerprintJs или аналоги.

vvn_black ★★★★★
(17.01.21 16:30:58 MSK)

Ответ на: комментарий от vvn_black 17.01.21 16:30:58 MSK

Так задача то плевая, если разобраться. Там в пакете всего одно поле, которое различает клиентов друг от друга (правда уже не помню какое). Юзать целый комбайн ради вместо элеметарновго var1 == var2

~~pavlick~~ ★★
(17.01.21 16:34:27 MSK) автор топика

Ссылка

Похоже, что такая элементарщина в рамках хттп - проблема, на стековерфлоу тоже руками разводят. Ладно, пох, буду клиентов тормозить специально на некоторых этапах + выделять ресуры на короткое время. В связи с этим вопрос - клиент прислал мне запрос, я должен ему ответить, если просто буду мариновать его ничего не отвечая, то он просто отвалится. Что я могу слать клиенту в этот период намеренного маринования? Какой-то заголовок ни о чём, мол не волнуйся, подожди, скоро все будет (секунд 7, например, надо его помариновать).

~~pavlick~~ ★★
(17.01.21 17:01:01 MSK) автор топика

Ответ на: комментарий от pavlick 17.01.21 17:01:01 MSK

Ничего ему слать не надо, почитай как HTTP long poll работает.

kardapoltsev ★★★★★
(18.01.21 05:09:53 MSK)

Ссылка

А что HTTP уже не поверх TCP работает? Что мешает дальше разделять TCP сессии?

anonymous
(18.01.21 08:42:29 MSK)

Ответ на: комментарий от anonymous 18.01.21 08:42:29 MSK

Не совсем понял. Делов в том, что я не очень понимаю как получить заголовки, которые приходят по нижележащим протоколам, из вышележащих.

~~pavlick~~ ★★
(18.01.21 08:56:55 MSK) автор топика

Ответ на: комментарий от pavlick 18.01.21 08:56:55 MSK

чот надумалось - использовать уникальный номер коннекшна в нжинксе и установить прокси хедер с этим номером, ну или что-то другое уникальное, так фронт на входе пометит клиента уникальным заголовком, а дальше уже бекенды разгребут, но, так сессионная кука делает то же самое.

deep-purple ★★★★★
(18.01.21 09:06:17 MSK)

Ссылка

Ответ на: комментарий от pavlick 18.01.21 08:56:55 MSK

Поставить тцп-прокси перед веб-сервером которое будет смотреть что там в пакетах…

Я смутно знаком с tcp/ip, но разве у двух разных клиентов за натом в общем случае в пакете будет какая-либо разница кроме чем номер исходящего порта? И http не обязывает держать открытым это соединение, можно оборвать и подключаться заново.

PolarFox ★★★★★
(18.01.21 09:08:31 MSK)

Ответ на: комментарий от PolarFox 18.01.21 09:08:31 MSK

Я смутно знаком с tcp/ip, но разве у двух разных клиентов за натом в общем случае в пакете будет какая-либо разница кроме чем номер исходящего порта?

Прошвырнулся по сети, похоже я что-то напутал и ни в каких заголовках нет инфы, которая бы помогла восстановить адрес клиента. NAT держит в своей памяти таблицу для обратного мепинга. Давно читал про все это, что-то забылось, что-то придумалось )

~~pavlick~~ ★★
(18.01.21 09:27:13 MSK) автор топика

Ссылка

Ответ на: комментарий от PolarFox 18.01.21 09:08:31 MSK

разве у двух разных клиентов за натом в общем случае в пакете будет какая-либо разница

Нет.

~~Legioner~~ ★★★★★
(18.01.21 10:27:34 MSK)

Куки для этого есть.

anonymous
(18.01.21 10:44:24 MSK)

Ответ на: комментарий от anonymous 18.01.21 10:44:24 MSK

плюсую. но только если клиент принимает куки.

anonymous
(18.01.21 10:46:11 MSK)

Ссылка

Ответ на: комментарий от Legioner 18.01.21 10:27:34 MSK

Remote port же.

gruy ★★★★★
(18.01.21 15:23:45 MSK)

Ответ на: комментарий от gruy 18.01.21 15:23:45 MSK

Это как повезёт.

~~Legioner~~ ★★★★★
(18.01.21 15:48:37 MSK)

Ссылка

идентификация по ip адресу ошибочна
для чего нужно?

anonymous
(21.01.21 18:15:14 MSK)

Ссылка

Логин, пароль, регистрация по паспорту с анальным зондированием.

anonymous
(21.01.21 18:56:16 MSK)

Ссылка

нафиг тебе адрес, генерь GUID для новых клиентов и клади в куку.

salozar
(21.01.21 19:10:04 MSK)

Ответ на: комментарий от salozar 21.01.21 19:10:04 MSK

лучше конечно GUID еще и ЭЦП подписать.

salozar
(21.01.21 19:10:58 MSK)

Ссылка

Ответ на: комментарий от salozar 21.01.21 19:10:04 MSK

Ну просто куку ведь можно удалить, понятно, что и адрес можно менять. Ну т.е. просто заморачивался со всякими крайними вариантами, если кто-то захочет загрузить сервер в цикле и на каждой итерации подтирать куку.

~~pavlick~~ ★★
(21.01.21 22:10:08 MSK) автор топика

Ссылка

Сначала определитесь с однозначной идентификацией клиентов и исчислимостью выделяемых им ресурсов. А потом уже просто вводите квоту, и пускай клиенты хоть тысячу подключений делают, - всё равно получат отлуп в определённый момент. Всё остальное будет по большому счёту извращением с сомнительной эффективностью.

sanwashere ★★
(23.01.21 12:22:04 MSK)