REMOTE_ADDR 协议头是不可伪造的

最新推荐文章于 2023-03-08 16:54:42 发布
最新推荐文章于 2023-03-08 16:54:42 发布
阅读量7.6k 收藏 1
点赞数 1

最近,在开发一个采集,怎么也不能用伪造的ip进行采集.网上找了不少资料,对方使用了 REMOTE_ADDR方法获取ip,这个函数是不能伪造的,像HTTP_X_FORWARDED_FOR这个可以获取到伪造的ip,获取代理使用比较多,像 HTTP_CLIENT_IP 这个是客户端带上来的,一般无空值…也可以被伪造出来

今天就是讲给REMOTE_ADDR不可以伪造的,就在curl 中也无法伪造 相对是比较安全的服务端ip获取方法,当然,也有可能被路由伪造 这个不好说,因为REMOTE_ADDR 是底层的回话ip地址,路由是可以发起伪造。所以,网上很多人都在问这个问题,也有很多人不死心,但现实确实是残酷的 也是完美的

给个演示案例你吧:你就信了

1.将以下代码保存为 Client.php

//php脚本开始

<?php $ch = curl_init(); $url = "http://localhost/ser.php"; $header = array( 'CLIENT-IP:208.165.188.175', 'X-FORWARDED-FOR:208.165.188.175, ); //声明伪造head请求头 curl_setopt($ch, CURLOPT_URL, $url); curl_setopt($ch, CURLOPT_HTTPHEADER, $header); curl_setopt($ch, CURLOPT_RETURNTRANSFER,true); $page_content = curl_exec($ch); curl_close($ch); echo $page_content;?>

2.将以下代码保存为 ser.php

//php脚本开始

<?php echo getenv('HTTP_CLIENT_IP'); echo getenv('HTTP_X_FORWARDED_FOR'); echo getenv('REMOTE_ADDR'); ?>

测试结果为

//html脚本开始
208.165.188.175
208.165.188.175
127.0.0.1
//上面结果可看出,http_client_ip,http_x_forwarded_for 都被伪造了
而remote_addr 还是127.0.0.1 就是客户端ip

原文链接:REMOTE_ADDR 协议头是不可伪造的! - https://www.test404.com/post-1448.html

哈哈,名字可以改
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
REMOTE_ADDR、HTTP_CLIENT_IP与HTTP_X_FORWARDED_FOR
苏的博客
07-06 1628
REMOTE_ADDR 是跟服务器“握手”的IP,如果使用代理服务器则为代理服务器的IP,没有代理则为客户端的IP。HTTP_CLIENT_IP 是由UserAgent向HTTP写入的,例如由IE写入,有些UserAgent可能不写HTTP_CLIENT_IP,HTTP_CLIENT_IP可被伪造。HTTP_X_FORWARDED_FOR 仅当使用代理服务器时存在,由代理服务器写入H
客户端的IP地址伪造、CDN、反向代理、获取的那些事儿
Now . Or Never ``
12-10 7189
获取用户IP地址的三个属性的区别(HTTP_X_FORWARDED_FOR,HTTP_VIA,REMOTE_ADDR) 一、没有使用代理服务器的情况:       REMOTE_ADDR = 您的 IP       HTTP_VIA = 没数值或不显示       HTTP_X_FORWARDED_FOR = 没数值或不显示 二、使用透明代理服务器的情况:Tr
php remoteaddr 伪造,REMOTE_ADDR协议获取真实IP地址是不可伪造
weixin_28953877的博客
03-19 2003
今天就是讲给REMOTE_ADDR不可伪造的,就在curl 中也无法伪造 相对是比较安全的服务端ip获取方法,当然,也有可能被路由伪造 这个不好说,因为REMOTE_ADDR 是底层的回话ip地址,路由是可以发起伪造。所以,网上很多人都在问这个问题,也有很多人不死心,但现实确实是残酷的 也是完美的给个演示案例你吧:你就信了1.将以下代码保存为 Client.php//php脚本开始$ch = c...
php remoteaddr 伪造,如何伪造$ _SERVER ['REMOTE_ADDR']变量?
weixin_28940217的博客
03-19 1797
达令说我认为你的意思是远程伪造它。简短的回答是肯定的。关于它是多么容易的长期答案取决于你想要伪造它的方式。如果您不关心接收响应,那么打开原始套接字到目标并伪造源IP地址就像是微不足道的。我不确定在PHP中是否真的很容易,因为所有PHP的套接字实现都达到或高于TCP级别。但我相信这是可能的。现在,由于您无法控制网络,因此响应不会再回复给您。这意味着你不能(可靠地)通过一个简单的伪造TCP创建一个T...
php置附加協議頭,php REMOTE_ADDR协议获取真实IP地址是不可伪造
weixin_36258014的博客
03-11 170
REMOTE_ADDR协议获取真实IP地址是不可伪造的今天就是讲给REMOTE_ADDR不可伪造的,就在curl 中也无法伪造 相对是比较安全的服务端ip获取方法,当然,也有可能被路由伪造 这个不好说,因为REMOTE_ADDR 是底层的回话ip地址,路由是可以发起伪造。所以,网上很多人都在问这个问题,也有很多人不死心,但现实确实是残酷的 也是完美的给个演示案例你吧:你就信了1.将以下代码保存...
伪造的TCP协议花式欺骗核心转发设备?
Netfilter
06-21 3736
如果你看OpenVxx的manual,里面有个链接: http://sites.inka.de/sites/bigred/devel/tcp-tcp.html 我研究这个问题研究了好几年,从2013年就开始了,后来我烦了,于是见人就跟人说, 用UDP隧道,不要用TCP隧道,不然重传叠加会让连接崩溃!! 那些年,我还是术业不精,难免要照本宣科,扯些什么TCP就是按序接收,重传保序之类云云。 我太老实了。 如若我想构建隧道,比如CDN动态加速的隧道,我肯定是要用这隧道去运输一些别的东西,换句话说, 这隧道肯定不
nginx $remote_addr 详解
weixin_33682790的博客
07-17 4162
nginx的自带变量 $remote_addr 代表客户端的IPremote_addr代表客户端的IP,但它的值不是由客户端提供的,而是服务端根据客户端的ip指定的,当你的浏览器访问某个网站时,假设中间没有任何代理,那么网站的web服务器(Nginx,Apache等)就会把remote_addr设为你的机器IP,如果你用了某个代理,那么你的浏览器会先访问这个代理,然后再由这个...
PHP通过$_SERVER['REMOTE_ADDR']得到的是内网IP?如何才能获得客户的公网IP(真实IP地址).zip
01-10
首先,`$_SERVER['REMOTE_ADDR']`是PHP用于获取客户端(浏览器)IP地址的一个变量,按照HTTP协议,这是服务器接收到的请求中的信息。然而,如果用户访问你的网站经过了代理服务器或者负载均衡器,这个IP地址可能会...
获取用户Ip地址通用方法与常见安全隐患(HTTP_X_FORWARDED_FOR)
12-19
然而,不正确的IP获取方式可能会导致安全隐患。本篇文章主要探讨了通过`HTTP_X_FORWARDED_FOR`和`HTTP_CLIENT_IP`获取IP地址的通用方法及其潜在风险。 首先,`REMOTE_ADDR`是PHP中获取客户端IP的默认方法,它代表了...
Nginx基础学习之realip模块的使用方法
01-09
- `Remote Address`: 它是TCP连接的源地址,直接指向与服务端建立连接的设备IP,不可伪造。 **realip模块示例** - **示例1**: 如果未使用realip模块,应用服务会依赖`X-Forwarded-For`获取用户IP,但可能会因为多层...
伪造IP协议 易语言
05-06
协议欺骗服务器,来造成伪造IP地址的效果!
e语言-HTTP协议伪装IP
08-23
HTTP协议伪装IP源码
brace-mod-connection-info:有关连接的信息(客户端IP,SSL)
02-23
最常用的方法是`$_SERVER['REMOTE_ADDR']`,它会返回客户端的IP地址。然而,如果用户通过代理服务器访问,这个变量可能无法提供准确的IP地址。在这种情况下,可以尝试使用`$_SERVER['HTTP_X_FORWARDED_FOR']`,这个...
获取用户IP地址的三个属性的区别(HTTP_X_FORWARDED_FOR,HTTP_VIA,REMOTE_ADDR)
zymaxs的专栏
08-12 978
本文转载于网络,内容没有进过本人认证~~一、没有使用代理服务器的情况: REMOTE_ADDR = 您的 IP HTTP_VIA = 没数值或不显示 HTTP_X_FORWARDED_FOR = 没数值或不显示二、使用透明代理服务器的情况:Transparent Proxies REMOTE_ADD
HTTP 请求中的 Remote_Addr,X-Forwarded-For,X-Real-IP | Spring Cloud 13
热门推荐
gmHappy
03-08 1万+
X-Real-IP是一个自定义`Header`。`X-Real-Ip` 通常被 `HTTP` 代理用来表示与它产生 `TCP` 连接的设备 `IP`,这个设备可能是其他代理,也可能是真正的请求端。需要注意的是,`X-Real-Ip` 目前并不属于任何标准,代理和 `Web` 应用之间可以约定用任何自定义来传递这个信息。 X-Forwarded-For(`XFF`)是用来**识别**通过**HTTP代理**或**负载均衡**方式连接到`Web`服务器的客户端**最原始的`IP`地址的`HTTP`请求字段。
篡改referer_HTTP协议部REFERER用法及伪造
weixin_36472962的博客
12-24 4468
1》Refere定义Referer是HTTP请求header的一部分,当浏览器(或者模拟浏览器行为)向web服务器发送请求的时候,信息里有包含Referer。比如我在www.xxxx.com里有一个www.baidu.com链接,那么点击这个www.baidu.com,它的header信息里就有:Referer=https://www.xxxx.com信息2>Refere作用...
php 获取 remote addr,php REMOTE_ADDR之获取访客IP的代码
weixin_30433715的博客
03-19 789
$iipp=$_SERVER["REMOTE_ADDR"];echo$iipp;?>[/code][code]
remote_addr和x_forwarded_for
weixin_30570101的博客
06-16 127
做网站时经常会用到remote_addr和x_forwarded_for这两个信息来获取客户端的IP,然而当有反向代理或者CDN的情况下,这两个值就不够准确了,需要调整一些配置。 什么是remote_addr remote_addr代表客户端的IP,但它的值不是由客户端提供的,而是服务端根据客户端的ip指定的,当你的浏览器访问某个网站时,假设中间没有任何代理,那么网站的web服务器(Ngin...
【转】REMOTE_ADDR,HTTP_CLIENT_IP,HTTP_X_FORWARDED_FOR
玲珑巫女的学习笔记
06-18 1270
转载自:http://www.cnblogs.com/lmule/archive/2010/10/15/1852020.html 看ecshop的lib_base.php的时候里面获取客户端真实ip的函数(real_ip),有许多情况的判断,主要判断客户端是否使用代理的情况,注意判断顺序,先判断客户端是否使用代理HTTP_X_FORWARDED_FOR 还是把源码附上吧 <?ph
$remote_addr
最新发布
06-01
`$remote_addr` 是nginx中的一个变量,用于获取客户端IP地址。它可以在nginx的配置文件中使用,用于记录客户端的IP地址、限制访问、统计流量等操作。 当客户端发起HTTP请求时,nginx会将客户端的IP地址存储在 `$remote_addr` 变量中。可以在nginx的配置文件中使用 `$remote_addr` 变量来获取客户端的IP地址,例如: ``` log_format main '$remote_addr - $remote_user [$time_local] ' '"$request" $status $body_bytes_sent ' '"$http_referer" "$http_user_agent"'; ``` 这个配置指定了nginx的访问日志格式,其中 `$remote_addr` 变量用于记录客户端的IP地址。nginx会将每个请求的IP地址记录在日志中,方便后续统计分析。 除了在日志中使用 `$remote_addr` 变量外,还可以在nginx的配置文件中使用 `$remote_addr` 变量进行访问限制。例如,可以配置以下内容来限制某个IP地址的访问: ``` location / { # 只允许IP地址为10.10.10.10的客户端访问 allow 10.10.10.10; deny all; } ``` 这个配置指定了只允许IP地址为10.10.10.10的客户端访问该location,其他IP地址的客户端将被拒绝访问。其中,`allow`和`deny`指令用于进行访问控制,而 `$remote_addr` 变量用于获取客户端的IP地址。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值