关于伪造ip的可行性
今晚,用curl进一个网站发现ip被限制访问了,然后我又开始了百度伪造请求ip的方法
关于php获取ip的函数 http://www.php20.cn/article/sw/ip/77
php一般用3个参数去判断ip
X_FORWARDED_FOR:获取http请求头X_FORWARDED_FOR属性
HTTP_CLIENT_IP : 获取http请求头ip CLIENT-IP属性
REMOTE_ADDR :与服务器握手的客户端ip
理解了这3个参数之后,我百度了下curl伪造ip
然后我访问自己的网站的以下代码(本地局域网访问),
curl_setopt($curl, CURLOPT_HTTPHEADER, array('Content-Type:application/json; charset=utf-8;X-FORWARDED-FOR:111.222.333.4', 'CLIENT-IP:111.222.333.4'));
//上面这行是curl的,懒得写全,毕竟不在同一个文件
echo getenv('HTTP_CLIENT_IP');
echo getenv('HTTP_X_FORWARDED_FOR');
echo getenv('REMOTE_ADDR');
运行结果如下
不难发现,REMOTE_ADDR 是正确的ip,该ip是tcp协议握手时的客户端ip,是不能伪造的 而X_FORWARDED_FOR已经是返回了自定义的值
总结以下:
用户的真实ip是无法伪造的,因为不管怎么样,都得建立tcp连接,
除非不建立tcp连接,直接经过tcp第一次握手返回一个错误的ip,不接受服务器的返回数据,这样才可以伪装一次tcp握手请求,
在正常的一次tcp连接,ip永远无法被伪造,如果没有ip,tcp连接将不成立,服务器将无法与客户端建立连接,无法发送和获取客户端的数据
在这结论之中,移动端关于使用数据流量时,虽然能获取到用户的真实ip,但这个ip,是手机与运营商基站建立连接之后,运营商给基站不定时分配的ip,只要是用户连接上了这个基站,那么所有连接这个基站的用户ip都会相同
再然后,由于REMOTE_ADDR是获取握手ip,如果使用跳板(代理服务器.服务器设定的cdn等)访问,则获取到的是代理服务器和cdn节点服务器的真实ip,而非用户的真实ip,至于用户的真实ip,代理服务器,和cdn节点是可以获取的
有人可能会问,那用户通过跳板访问,能获取到真实ip吗?
答案是不行的,除非跳板做好事,给服务器返回客户端的真实ip;一般跳板会用http头的X-FORWARDED-FOR属性进行返回用户的真实ip,而会不会返回,这就是跳板的问题了
总而言之,只要经过tcp握手成功后,都不可能伪装ip,只能说通过跳板去变动ip,而这个变动ip,也是不能自定义的,这个ip也是ip协议上一个合法的ip
- 本文标签: 乱七八糟
- 本文链接: https://www.php20.cn/article/110
- 版权声明: 本文由仙士可原创发布,转载请遵循《署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0)》许可协议授权