构造HTTP请求Header实现“伪造来源IP”(重在原理)

最新推荐文章于 2024-06-01 21:26:47 发布
最新推荐文章于 2024-06-01 21:26:47 发布
阅读量4.4k 收藏 13
点赞数 3
分类专栏: nginx 文章标签: nginx
原文链接:https://blog.csdn.net/huazhongkejidaxuezpp/article/details/50343805
版权

转载自:

http://zhangxugg-163-com.iteye.com/blog/1663687

 

http://www.walkerjava.com/index.php?m=blog&f=view&id=10

1. 伪造原理

在阅读本文前,大家要有一个概念,在实现正常的TCP/IP 双方通信情况下,是无法伪造来源 IP 的,也就是说,在 TCP/IP 协议中,可以伪造数据包来源 IP ,但这会让发送出去的数据包有去无回,无法实现正常的通信。这就像我们给对方写信时,如果写出错误的发信人地址,而收信人按信封上的发信人地址回信时,原发信人是无法收到回信的。

 

一些DDoS 攻击,如 SYN flood,  就是利用了 TCP/ip 的此缺陷而实现攻击的。《计算机网络》教材一书上,对这种行为定义为“发射出去就不管”。

 

因此,本文标题中的伪造来源IP 是带引号的。并非是所有 HTTP 应用程序中存在此漏洞。

 

那么在HTTP 中, " 伪造来源 IP",  又是如何造成的?如何防御之?

在理解这个原理之前,读者有必要对HTTP 协议有所了解。 HTTP 是一个应用层协议,基于请求 / 响应模型。客户端(往往是浏览器)请求与服务器端响应一一对应。

 

请求信息由请求头和请求正文构成(在GET 请求时,可视请求正文为空)。请求头类似我们写信时信封上的基本信息,对于描述本次请求的一些双方约定。而请求正文就类似于信件的正文。服务器的响应格式,也是类似的,由响应头信息和响应正文构成。

 

为了解这个原理,可使用Firefox Firebug,  或 IE 浏览器插件 HTTPwatch 来跟踪 HTTP 请求 / 响应数据。

 

左边即是请求数据,右边即是服务器响应数据。

特点:

请求 header 中除第一行外,其它行均由 header 名称, header 值组成,如  Accept-Encoding: gzip, deflate , header 名称与值之间有冒号相隔,之间的空格是可有可无的。

那么,在HTTP 应用程序中,如何取得指定的请求 header 信息呢?

以下是js获取ip地址:

 

 

  1. public String getIpAddr(HttpServletRequest request) {

  2. String ip = request.getHeader("x-forwarded-for");

  3. if(ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {

  4. ip = request.getHeader("Proxy-Client-IP");

  5. }

  6. if(ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {

  7. ip = request.getHeader("WL-Proxy-Client-IP");

  8. }

  9. if(ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {

  10. ip = request.getRemoteAddr();

  11. }

  12. return ip;

  13. }

由上可知: 服务器通过request中的 x-forwarded-for 和 client-ip 来获取 客户端的ip.

那么,如果客户端伪造 Client-Ip, X-Forward-For ,可以欺骗此程序,达到“伪造 IP ”之目的.

 

2. 那么如何伪造这项值(X-Forward-For)?

方法一: 如果你会写程序,并了解HTTP 协议,直接伪造请求 header 即可

方法二: 使用 Firefox 的Moify Headers 插件即可(推荐)

 

3. 如何避免伪造ip

方法:服务器重新配置X-Forward-For 为正确的值

 

服务器集群之间的通信,是可以信任的。我们要做的就是在离用户最近的前端代理上,强制设定X-Forward-For 的值,后端所有机器不作任何设置,直接信任并使用前端机器传递过来的 X-Forward-For 值即可。

 

即在最前端的Nginx 上设置:

location  ~  ^/static {

proxy_pass  ....;

proxy_set_header X-Forward-For $remote_addr ;

}

 

如果最前端(与用户直接通信)代理服务器是与php fastcgi 直接通信,则需要在其上设定:

location ~ "\.+\.php$" {

fastcgi_pass localhost:9000;

fastcgi_param  HTTP_X_FORWARD_FOR  $remote_addr;

}

记住,$remote_addr 是 nginx 的内置变量,代表了客户端真实(网络传输层) IP 。通过此项措施,强行将 X-Forward-For 设置为客户端 ip,  使客户端无法通过本文所述方式“伪造 IP ”。

不要回头看
关注
  • 3
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Burpsuite插件 -- 伪造IP
KHOST的博客
08-05 4242
今天给大家介绍一款Burpsuite插件,burpFakeIP 一、下载地址 https://github.com/TheKingOfDuck/burpFakeIP 二、安装插件 1、解压到本地 2、打开burpsuite,选择Extender,Add 3、选择下载好python插件,选择下一步 4、安装成功 三、使用方法 1、伪造指定ip,右击抓到的数据包,选择fakeip,inputIP,输入想要用的ip地址,点击确定,自动添加 2、伪造本地...
伪造Http请求IP地址
xxxcyzyy的博客
06-26 6382
https://blog.csdn.net/rodjohnson_523391/article/details/84896392 注意:[color=red][b]伪造Http请求IP地址一般为非推荐使用手段[/b][/color] 一般使用:[color=red][b]简单投票网站重复投票,黑别人网站[/b][/color] 在项目开发中(web项目),我负责的系统(简称PC),需要...
headerIP php_php搞定ip伪装的两种方式
weixin_32769015的博客
02-23 537
第一种:写了段代码伪装ip原理是,客户访问网站,获取客户ip,伪装客户ip去访问数据源。采集后处理缓存到/tmp公共目录(省了空间,不占用自己的空间),然后输出到客户浏览器。代码如下:$url = "http://www.baidu.com";$host = 'www.baidu.com';$data = "要发送的数据";$ip='121.186.1.57';$headers['CLIENT-...
使用 Scapy 库编写 IP 地址欺骗攻击脚本
最新发布
Flag少侠的博客
06-01 6182
IP地址欺骗(IP Spoofing)是一种网络攻击技术,攻击者伪造其数据包的源IP地址,使其看起来像是从其他合法地址发送的。这种技术常用于各种攻击中,例如DDoS攻击、Man-in-the-Middle(MITM)攻击和拒绝服务(DoS)攻击等。
常用的几个HTTP head IP
夜班机器人的博客
03-01 4432
x-forwarded-forx-remote-IPx-originating-IPx-remote-ipx-remote-addrx-client-ipx-client-IPX-Real-ip
java 伪造http请求ip地址的方法
08-26
主要介绍了java 伪造http请求ip地址的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
CISP-PTE维持记录(2022-03-30)
orange777
03-30 6898
0x00前言 初考CIST-PTE是在2019年,今天做了下维持,对其中的一些题目做下记录。其实这些题目基本上都是在网上可以找到的,其中标注的答案部分有极个别可能有误,请慎重! 这里说下题型分布,选择题40个,80分;实操题2个,20分。总分100,>=70即可拿证。下面开始吧 0x01选择题 1、()是最常用的公钥密码算法 (2分) A 量子密码B DSAC RSAD 椭圆曲线 2、通过修改HTTP Headers 中的哪个键值可以伪造来源网址() (2分) A User-AgentB Accept
Golang 发送http请求时设置header实现
12-20
在Golang中,发送HTTP请求并设置Header是常见的任务,特别是在进行网络爬虫、API调用或者模拟用户行为时。以下将详细介绍如何在Golang中实现这个功能。 首先,我们需要导入必要的包,包括`fmt`用于输出,`io/ioutil...
PHP 伪造IP 发送HTTP请求.zip_伪造ip服务器
01-15
"PHP 伪造IP 发送HTTP请求...总结起来,"PHP 伪造IP 发送HTTP请求"涉及了HTTP协议的基本原理,PHP的cURL扩展以及如何通过设置HTTP头来改变IP信息。在学习和应用这些知识时,我们需要充分理解其背后的原理和潜在的风险。
php使用curl伪造来源ip和refer的方法示例
10-18
总结一下,PHP 使用 `cURL` 伪造来源 IP 和 Referer 主要通过设置 `cURL` 的 `CURLOPT_REFERER` 和 `CURLOPT_HTTPHEADER` 选项。`X-FORWARDED-FOR` 和 `CLIENT-IP` 头字段常用于设置 IP,而 `CURLOPT_REFERER` 用于...
php伪造http头实现IP欺骗
07-19
可以伪造出http头,以达到修改请求来源的方法。
伪造HTTP请求中的IP信息
java技术交流
03-20 801
        很多程序需要检测客户端的IP地址,然后来授予相关的权限。比如数据库读写,文件读写,等等。其实还有一个很常见的应用,网站投票。网站投票始于2000年的左右,那时候.COM正热得发红,红得发紫。         早 期的投票只要投了就行可能技术牛人们还没有想到一个人会多投,那个时候反正上网的人也不多,后来慢慢的COKIE验证,IP验证等等都出来了,但是这些还 不是最保险的...
python伪造请求ip_如何在python中伪造IP进行测试
weixin_35952352的博客
01-29 1714
我和avahi一起发布了一个可以在不同机器上运行的服务。在我开始使用IP服务,然后开始使用这些机器的代码。在我不想自动化测试,所以我需要以某种方式伪造几台机器,这样当avahi解析它们时它们会有不同的IP地址。在这可能吗?在class ReceiversManager(object):def __init__(self, name, on_message_callback):self.logger...
八、python爬虫伪装 [免费伪装ip伪装请求头]
热门推荐
weixin_51852924的博客
10-28 1万+
python爬虫伪装,伪装请求头以及使用代理ip前言一、爬虫都拿走了些什么二、伪造请求头1.下载my-fake-useragent库三、使用代理ip总结 前言 在逐渐深入学习爬虫后每一次的测试都心惊胆战,就像拿了驾照开了一段时间不再是新手,但是更害怕别人“不请自来”。随着对爬虫速度和数量的要求逐渐提高,被封禁的可能性也越来越大,为了大家可以安心学习爬虫,这里附上伪装爬虫的方法,我愿称之为 “大变活虫”。 以下案例仅供学习 一、爬虫都拿走了些什么 在使用爬虫爬取网站时网站会获取你的请求头,ip地址,coo
c语言实现http header请求参数解析
05-19
在 C 语言中,可以使用标准库中的 socket 和 HTTP 协议来实现 HTTP 请求和响应的处理。HTTP 头部(header)是 HTTP 请求和响应中的重要组成部分,包含了请求和响应的各种参数信息。下面是一个简单的 C 语言程序,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值