构造HTTP请求Header实现“伪造来源IP”

最新推荐文章于 2024-06-01 21:26:47 发布
最新推荐文章于 2024-06-01 21:26:47 发布
阅读量5.5k 收藏 1
点赞数
分类专栏: Chrome 工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/walter_chan/article/details/50602864
版权

首先,能用这种方法伪造ip的服务是不安全的,具体可查看https://imququ.com/post/x-forwarded-for-header-in-http.html,里面有关于 X-Forwarded-For的介绍。

构造 HTTP请求 Header 实现“伪造来源 IP ”

 

在阅读本文前,大家要有一个概念,在实现正常的TCP/IP 双方通信情况下,是无法伪造来源 IP 的,也就是说,在TCP/IP 协议中,可以伪造数据包来源 IP ,但这会让发送出去的数据包有去无回,无法实现正常的通信。这就像我们给对方写信时,如果写出错误的发信人地址,而收信人按信封上的发信人地址回信时,原发信人是无法收到回信的。

 

一些DDoS 攻击,如 SYN flood,  就是利用了 TCP/ip 的此缺陷而实现攻击的。《计算机网络》教材一书上,对这种行为定义为“发射出去就不管”。

 

因此,本文标题中的伪造来源IP 是带引号的。并非是所有 HTTP 应用程序中存在此漏洞。

 

那么在HTTP 中, " 伪造来源 IP",  又是如何造成的?如何防御之?

在理解这个原理之前,读者有必要对HTTP 协议有所了解。 HTTP 是一个应用层协议,基于请求 / 响应模型。客户端(往往是浏览器)请求与服务器端响应一一对应。

 

请求信息由请求头和请求正文构成(在GET 请求时,可视请求正文为空)。请求头类似我们写信时信封上的基本信息,对于描述本次请求的一些双方约定。而请求正文就类似于信件的正文。服务器的响应格式,也是类似的,由响应头信息和响应正文构成。

 

为了解这个原理,可使用Firefox Firebug,  或 IE 浏览器插件 HTTPwatch 来跟踪 HTTP 请求 / 响应数据。

 

本文中,以HTTPwatch 为例说明之。安装 httpwatch 并重启 IE 浏览器后&#

最低0.47元/天 解锁文章
Walter-Chen
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java 随机生成ip地址,http请求自定义ip
猪头泽兜兜的
04-25 501
如果获取用户请求ip地址的方法/*** 用于组装用户的全部请求参数/*** 用户请求参数/*** 构造* @param request 当前请求* @param body 请求体* @param form 表单} /*** 获取header中的所有数据* @param request 当前请求} } };} /*** 根据请求获取 请求携带的IP地址。
如何伪造IP 发送HTTP请求request
01-15
如何伪造IP 发送HTTP请求request.zip
使用 Scapy 库编写 IP 地址欺骗攻击脚本
最新发布
Flag少侠的博客
06-01 6257
IP地址欺骗(IP Spoofing)是一种网络攻击技术,攻击者伪造其数据包的源IP地址,使其看起来像是从其他合法地址发送的。这种技术常用于各种攻击中,例如DDoS攻击、Man-in-the-Middle(MITM)攻击和拒绝服务(DoS)攻击等。
web12:本地管理员(http请求伪造IP,XFF字段)
y17861077326的博客
02-02 2559
这道题,提示是IP禁止访问。看了答案以后,说是伪造本地IP。 不允许外来IP访问,那么应该就是本地IP可以访问了,本地IP又称回送地址,用于本地软件测试,进程间通信。 伪造本地IP的方法是在http头上加一个字段X-Forwarded-For:127.0.0.1 另外在网页源码里有一串Base64字符,解码后是test123 管理员系统的账号常为admin,所以猜test123是其密码。 所以伪造http头,加一个字段伪造来源为本地IP即可破解题目。 ...
HTTP请求IP伪造
qq_38185837的博客
05-18 7377
HTTP请求IP伪造 适用范围: 用于在某些特定情况下,只允许特定IP才能访问的页面,后端逻辑不严谨通过前端请求头来判断IP地址; 利用方式: 通过burp或者其他抓包工具添加以下下任意一个请求头,根据实际情况而定 X-Forwarded-For: 192.168.0.91 X-Originating-IP: 192.168.0.92 X-Remote-IP: 192.168.0.93 X-Remote-Addr: 192.168.0.94 X-Client-IP: 192.168.0.95 实例 通过页
伪造Http请求IP地址
weixin_30708329的博客
07-29 511
注意:伪造Http请求IP地址一般为非推荐使用手段 一般使用:简单投票网站重复投票,黑别人网站 在项目开发中(web项目),我负责的系统(简称PC),需要调其它系统接口,并且该系统需要获取客户端(浏览器访问端)的IP地址,给我愁死了, 正常流程:浏览器---访问PC系统----PC系统需要调第三方系统,此时默认情况下,PC发起的request请求IP地址是PC所在服务器的IP...
PHP curl伪造IP地址和header信息代码实例
12-18
本文将深入探讨如何使用PHP cURL来伪造IP地址和HTTP头信息,并解释其工作原理。 通常,服务器可以通过`$_SERVER`全局数组来获取客户端的IP地址和其他相关信息。有两个重要的变量用来获取IP地址:`$_SERVER['REMOTE_...
PHP伪造来源HTTP_REFERER的方法实例详解
12-18
通过PHP的fsockopen函数,可以创建一个到指定服务器的套接字连接,然后发送包含伪造HTTP_REFERER的HTTP请求,从而实现这个目的。 以下是一个简单的PHP代码示例,用于演示如何伪造HTTP_REFERER: ```php $host = '...
伪造HTTP请求中的IP信息
weixin_30439067的博客
02-09 123
很多程序需要检测客户端的IP地址,然后来授予相关的权限。比如数据库读写,文件读写,等等。其实还有一个很常见的应用,网站投票。网站投票始于2000年的左右,那时候.COM正热得发红,红得发紫。早期的投票只要投了就行可能技术牛人们还没有想到一个人会多投,那个时候反正上网的人也不多,后来慢慢的COKIE验证,IP验证等等都出来了,但是这些还不是最保险的,因为COOKIE是...
java 伪造http请求ip地址的方法
08-26
主要介绍了java 伪造http请求ip地址的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
构造HTTP请求Header实现伪造来源IP”(重在原理)
热门推荐
我的E家
12-17 3万+
转载自: http://zhangxugg-163-com.iteye.com/blog/1663687 http://www.walkerjava.com/index.php?m=blog&f=view&id=10 1. 伪造原理 在阅读本文前,大家要有一个概念,在实现正常的TCP/IP 双方通信情况下,是无法伪造来源 IP 的,也就是说,在 TCP/IP 协议中
【Nginx】proxy_set_header的变量与X-Forwarded-For伪造客户端IP漏洞
kevin的博客
07-14 2255
上面突然说,需要检查Nginx反向代理的安全问题并给出了修改方法,小白的我一脸懵逼,明明都是中文,连在一起咋就看不明白了。于是乎,对着修改内容简单学习了一下,在此做个记录,如有问题请大佬们指点指点。
http协议之伪造ip的方法
qq_74240553的博客
02-18 861
常见的伪造ip方法
headerIP php_php搞定ip装的两种方式
weixin_32769015的博客
02-23 543
第一种:写了段代码ip,原理是,客户访问网站,获取客户ip装客户ip去访问数据源。采集后处理缓存到/tmp公共目录(省了空间,不占用自己的空间),然后输出到客户浏览器。代码如下:$url = "http://www.baidu.com";$host = 'www.baidu.com';$data = "要发送的数据";$ip='121.186.1.57';$headers['CLIENT-...
IP地址伪造(第1题)
qq_36933272的博客
09-01 661
利用弱口令尝试登陆,用户名密码都用admin ,发现能跳转但提示只能在服务器登陆。 利用burp截取发送登陆请求的包,send to repeater 。 伪造ip地址,x-forwarded-for:127.0.0.1,下面空一行。 go发送包,得到key ...
php 设置http请求header
04-05
在 PHP 中,可以使用 `header()` 函数来设置 HTTP 请求头。该函数需要在发送任何实际输出之前调用,并且只能调用一次。 以下是设置 HTTP 请求头的示例代码: ``` header("Content-Type: application/json"); ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值