[Web/IP]真实IP获取原理/客户端IP伪造测试

最新推荐文章于 2022-05-18 16:30:10 发布
最新推荐文章于 2022-05-18 16:30:10 发布
阅读量2k 收藏 2
点赞数 1
分类专栏: # Web安全 文章标签: IP伪造 前后端交互 安全 代理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DARKNOTES/article/details/119153299
版权

真实IP获取和客户端IP伪造

近期比赛又做到了用户IP伪造的题目,想来不如就总结一下。

为什么要确认IP?

在Web应用下,部分逻辑需要确认用户的客户端IP。如对大量频繁发送危险请求的IP进行封禁。

进行用户IP确认的方法有很多,但是部分方法降低了IP获取的难度,确牺牲了安全性,产生了IP可伪造的风险。

服务器是如何确定IP的?

REMOTE_ADDR

标识发出请求的主机IP地址,代表客户端IP。这个标识完全由服务器决定,除了路由之外无法伪造,通过TCP协议根据直接请求来源的远程主机确定,服务端根据请求TCP包的IP指定的,简单说就是,客户端和服务器握手时的IP。

代理服务器

上面介绍了REMOTE_ADDR,当客户端访问Web服务器时,请求经过了代理服务器,上述方法将无法获得最终客户端IP。

当客户端使用匿名代理(anonymous)时,本地发送的请求经由代理IP转发后到达目标服务器,因此,目标服务器会将直接和它交互的那个代理IP的REMOTE_ADDR当作客户端的IP,然而事实并非如此,但仍具有参考意义。

XFF头

自定专用消息头可通过’X-’ 前缀来添加,非规范类,标准头部实际为Forwarded。

在未被篡改、不考虑安全性的条件下,这个标识代表的是客户端的真实IP。如果一个请求经过了多个代理服务器,那么每一个代理服务器的IP地址都会被依次记录在内。

来源: 代理服务器。请求经过带有HTTP代理和负载均衡功能的服务器时,为了防止Web服务器无法获取客户端真实IP,代理服务器会添加XFF头来保存请求的最终来源。

Client-Ip

和XFF一样,同样是代理服务器发送的HTTP头,如果使用“超级匿名代理”,返回值为none

Host

指明了请求将要发送到的服务器主机名和端口号,非可控的参数,安全。

Referer

引导用户代理到当前页的前一页的地址,,可修改不可信。

PHP$_SERVER

PHP 服务器和执行环境信息

哪些可能会有伪造

Client-Ip: 127.0.0.1
X-Forwarded-For: 127.0.0.1
Referer: www.abc.com
测试
<?php
$content = $_GET['txt'];
........
file_put_contents($dir_path."/request.txt",print_r($_SERVER,true));

通过向服务器上的此脚本发送使用Burp添加了下列内容的请求,

请添加图片描述

打开保存到文件的请求$_SERVER记录,可以看到

请添加图片描述

三项均被修改,而REMOTE_ADDR为握手客户端IP,此三项确实可以伪造。

另外,

注意到$_SERVER[‘SERVER_ADDR’]为一个局域网IP,开始感到很奇怪,查到以下内容

$_SERVER[‘SERVER_ADDR’] 是当前运行脚本所在的服务器的 IP 地址。继续查询,某位不知名大佬回答,“谁是调用 php 的服务器,就是谁”,带着疑问在服务器上ifcongfig,对比网卡etho0的IP值发现两者果然一致。

車鈊
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
HTTP 请求头中的 Remote_Addr,X-Forwarded-For,X-Real-IP | Spring Cloud 13
gmHappy
03-08 1万+
X-Real-IP是一个自定义`Header`。`X-Real-Ip` 通常被 `HTTP` 代理用来表示与它产生 `TCP` 连接的设备 `IP`,这个设备可能是其他代理,也可能是真正的请求端。需要注意的是,`X-Real-Ip` 目前并不属于任何标准,代理和 `Web` 应用之间可以约定用任何自定义头来传递这个信息。 X-Forwarded-For(`XFF`)是用来**识别**通过**HTTP代理**或**负载均衡**方式连接到`Web`服务器的客户端**最原始的`IP`地址的`HTTP`请求字段。
php remoteaddr 伪造,REMOTE_ADDR协议头获取真实IP地址是不可伪造
weixin_28953877的博客
03-19 1985
今天就是讲给REMOTE_ADDR不可以伪造的,就在curl 中也无法伪造 相对是比较安全的服务端ip获取方法,当然,也有可能被路由伪造 这个不好说,因为REMOTE_ADDR 是底层的回话ip地址,路由是可以发起伪造。所以,网上很多人都在问这个问题,也有很多人不死心,但现实确实是残酷的 也是完美的给个演示案例你吧:你就信了1.将以下代码保存为 Client.php//php脚本开始$ch = c...
Asp.net获取客户端IP常见代码存在的伪造IP问题探讨
10-27
如果某个网站是通过下面的代码获取IP,那么我们只要在Header里随意设置HTTP_VIA和X_FORWARDED_FOR,就可以达到伪造IP的目的
php识别伪造ip,PHP 伪造IP和来源信息
weixin_39606799的博客
03-20 237
查了下,CURL确实很强悍的可以伪造IP和来源,下面看实现有需要的朋友可以参考一下。1.php教程 请求 2.php 。1.php代码:$ch = curl_init();curl_setopt($ch, CURLOPT_URL, "http://localhost/2.php");curl_setopt($ch, CURLOPT_HTTPHEADER, array('X-FORWARDED-FO...
HTTP请求IP伪造
qq_38185837的博客
05-18 7013
HTTP请求IP伪造 适用范围: 用于在某些特定情况下,只允许特定IP才能访问的页面,后端逻辑不严谨通过前端请求头来判断IP地址; 利用方式: 通过burp或者其他抓包工具添加以下下任意一个请求头,根据实际情况而定 X-Forwarded-For: 192.168.0.91 X-Originating-IP: 192.168.0.92 X-Remote-IP: 192.168.0.93 X-Remote-Addr: 192.168.0.94 X-Client-IP: 192.168.0.95 实例 通过页
php curl 伪造IP来源的实例代码
12-19
curl发出请求的文件fake_ip.php: 代码 复制代码 代码如下: <?php $ch = curl_init(); $url = “http://localhost/target_ip.php”; $header = array( ‘CLIENT-IP:58.68.44.61’, ‘X-FORWARDED-FOR:58.68.44.61’, ); curl_setopt($ch, CURLOPT_URL, $url); curl_setopt($ch, CURLOPT_HTTPHEADER, $header); curl_setopt($ch, CURLOPT_RETURNTRANS
REMOTE_ADDR 协议头是不可伪造
技术人生的博客
07-16 7639
最近,在开发一个采集,怎么也不能用伪造ip进行采集.网上找了不少资料,对方使用了 REMOTE_ADDR方法获取ip,这个函数是不能伪造的,像HTTP_X_FORWARDED_FOR这个可以获取伪造ip,获取代理使用比较多,像 HTTP_CLIENT_IP 这个是客户端带上来的,一般无空值…也可以被伪造出来 今天就是讲给REMOTE_ADDR不可以伪造的,就在curl 中也无法伪造 相对...
php remoteaddr 伪造,如何伪造$ _SERVER ['REMOTE_ADDR']变量?
weixin_28940217的博客
03-19 1794
达令说我认为你的意思是远程伪造它。简短的回答是肯定的。关于它是多么容易的长期答案取决于你想要伪造它的方式。如果您不关心接收响应,那么打开原始套接字到目标并伪造IP地址就像是微不足道的。我不确定在PHP中是否真的很容易,因为所有PHP的套接字实现都达到或高于TCP级别。但我相信这是可能的。现在,由于您无法控制网络,因此响应不会再回复给您。这意味着你不能(可靠地)通过一个简单的伪造TCP头创建一个T...
Apache 获取真实ip的配置的实现方法
09-15
这两行配置指示Apache使用`X-Forwarded-For`头部来获取真实客户端IP地址,`X-Forwarded-By`则用于记录代理服务器的IP。`X-Forwarded-For`头通常由代理服务器添加,包含了原始客户端IP。 保存并退出编辑器后,启用...
IP_获取连接者IP_
10-03
`$_SERVER['REMOTE_ADDR']`通常会返回客户端IP地址,这是最直接的获取方式。然而,如果用户通过代理服务器或者NAT(网络地址转换)连接,`REMOTE_ADDR`可能会得到代理服务器的IP而不是实际用户的IP。这时,我们...
php 获取本地IP代码
10-27
然而,由于代理服务器、NAT转换等原因,这个变量可能并不总是能获取真实客户端IP。因此,为了更准确地获取IP,我们通常需要检查其他环境变量,如`HTTP_CLIENT_IP`,它可能在经过代理时包含客户端IP。 下面给出...
如何伪造IP 发送HTTP请求request
01-15
伪造IP意味着在发送网络请求时,使用非自身的真实IP地址,这在某些情况下可能被用作掩盖真实身份的手段。 2. **HTTP协议**:HTTP协议定义了客户端(如Web浏览器)和服务器之间交换数据的格式和规则。一个HTTP请求...
php $_server["remote_addr"];,php – 如何伪造$_SERVER [‘REMOTE_ADDR’]变量?
weixin_39627697的博客
03-11 701
我假设你的意思是远程制作。简短的答案是肯定的。关于它是多么容易的长答案取决于你想要如何假它。如果你不关心接收一个响应,它是开放一个原始套接字到目的地和伪造IP地址是微不足道的。我不确定是否真的很容易做PHP,因为所有的PHP的套接字实现在或高于TCP级别。但我相信这是可能的。现在,由于您不能控制网络,因此响应不会返回给您。所以这意味着你不能(可靠地)通过一个平凡的伪造TCP头创建一个TCP连接(...
客户端IP地址伪造、CDN、反向代理获取的那些事儿
Now . Or Never ``
12-10 7172
获取用户IP地址的三个属性的区别(HTTP_X_FORWARDED_FOR,HTTP_VIA,REMOTE_ADDR) 一、没有使用代理服务器的情况:       REMOTE_ADDR = 您的 IP       HTTP_VIA = 没数值或不显示       HTTP_X_FORWARDED_FOR = 没数值或不显示 二、使用透明代理服务器的情况:Tr
使用curl 模拟 请求,可以修改client_ip,remote_addr,x-forworded-for
热门推荐
经验在于积累而不在于年限---dreamboycx
08-22 1万+
<?php //用户名 $login = 'username'; //密码 $password = 'password'; //163的用户登陆地址 #$url = "https://reg.163.com/logins.jsp"; $url = "http://202.108.37.54:8080/t.php"; //post 要提交的数据 $fields = "verifycookie=
如何获取请求真实IP和远程主机IP详解
weixin_43811057的博客
04-26 1万+
如何获取请求真实IP和远程主机IP详解需求背景一、Remote_Addr情况 一:情况二:java中获取Remote_Addr的api二、X-Forwarded-Forjava中获取X-Forwarded-For的api为 需求背景 HTTP请求头中的Remote_Addr,X-Forwarded-For,X-Real-IP 我们在项目中有时需要获取请求真实IP,有时需要获取代理服务器的IP。 下面详细介绍如何获取。 一、Remote_Addr Remote_Addr表示发出请求的远程主机IP。rem
[WEB/nodejs]Nodejs知识入门和子进程
車鈊的博客
04-06 4387
文章目录入门内容Nodejs初步解构赋值事件绑定1.DOM绑定2.在JS绑定3. 绑定事件监听函数Callback回调函数子进程模块_函数child_process()参考链接 入门内容 Nodejs初步 Nodejs是在服务器端运行的JS代码,跨平台JS的运行环境, 采用V8引擎运行源代码, 利用事件驱动、非阻塞、异步I/O模型等来提高运行的性能。 使用多进程是扩展一个 Node 应用最好的方式, 被设计用来通过很多节点创建分布式应用, 这也是为什么被命名为 Node。 解构赋值 类似于解包,将对象或者数
getRomote获取不到真实ip地址
最新发布
06-06
Web应用程序中,通常使用HTTP代理或负载均衡器来保护服务器免受直接的Internet流量攻击。这些代理服务器通过在HTTP头中添加一些特殊的标头,例如X-Forwarded-For以传递原始客户端真实IP地址。 因此,如果您使用的是代理服务器或负载均衡器,请尝试使用X-Forwarded-For标头获取客户端真实IP地址。以下是使用Java Servlet API获取客户端真实IP地址的示例代码: ```java String remoteAddr = request.getHeader("X-Forwarded-For"); if (remoteAddr == null || remoteAddr.trim().isEmpty()) { remoteAddr = request.getRemoteAddr(); } ``` 在这个例子中,首先尝试获取X-Forwarded-For标头,并将其用作客户端真实IP地址。如果该标头不存在,则使用request.getRemoteAddr()方法获取客户端IP地址。 请注意,由于X-Forwarded-For标头可以被客户端伪造,因此您需要验证该标头的值确实来自代理服务器。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值