网络安全之IP伪造

         眼下很是多站点的涉及存在一些安全漏洞，黑客easy使用ip伪造、session劫持、xss攻击、session注入等手段危害站点安全。在纪录片《互联网之子》（建议搞IT的都要看下）中。亚伦·斯沃茨（真实人物，神通常的存在）涉嫌利用麻省理工的网络，经过ip伪造从JSTOR中下载了150万篇论文。本文经过firefox看下一个简单的ip伪造是怎样实现的。

       一、client的ip是经过http的头部发送到server端的

      比方，在打开网址www.baidu.com的时候。经过firebug可以看到请求头部，头部里包括client的信息，比方cookie等。

 

     

 通常后台获取的clientip的代码为：

php代码：

private function _get_client_ip() {

$ip = $_SERVER['REMOTE_ADDR'];

if (isset($_SERVER['HTTP_CLIENT_IP']) && preg_match('/^([0-9]{1,3}\.){3}[0-9]{1,3}$/', $_SERVER['HTTP_CLIENT_IP'])) {

$ip = $_SERVER['HTTP_CLIENT_IP'];

jsp代码：

public String getIpAddr(HttpServletRequest request) {
       String ip = request.getHeader("x-forwarded-for");
       if(ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
          ip = request.getHeader("Proxy-Client-IP");
       }
       if(ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
          ip = request.getHeader("WL-Proxy-Client-IP");
       }
       if(ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
          ip = request.getRemoteAddr();
       }
       return ip;
}

 

   代码片断便是获取clientIP，这段程序会尝试检查 HTTP_CLIENT_IP, HTTP_X_FORWARDED_FOR, 依据以前的原理说明，以 HTTP_开头的 header,  均属于client发送的内容。那么，假设client伪造 Client-Ip, X-Forward-For，不就可以欺骗此程序，达到“伪造 IP”之目的？

      伪造这项值？假设你会敲代码。并了解HTTP协议，直接伪造请求 header 就能够。

或者使用 Firefox的 Moify Headers插件就能够。

 

     二、Modify Headers伪造ip

   安装Modify Headers后，加入一个X-Forwarded-For，并填入一个ip，置为可用后，打开对应网页，server就会获取到该伪造ip。

  

  

 

三、站点怎样防御ip伪造

     既然可以经过ip伪造，站点怎样过滤这些伪造的ip? 通常作法是在应用server上强制将X-Forwarded-For的值设置为client真实ip，详细操做请自行研究。

 

       网络中存在此漏洞的站点很是多，尤为是一些投票类的站点。经过限制ip（一个ip仅仅能投一次票，或者一个ip仅仅能在必定的时间段投一次票）来限制重复投票的站点。

别人可能会利用此漏洞来伪造ip。突破这样的限制。因此站点开发人员要重视这类安全。

     本文部份内容參考了博客构造HTTP请求 Header 实现“伪造来源 IP” ，