当前位置：首页 > news >正文

网络安全之IP伪造

news 2025/12/6 5:17:50

眼下非常多站点的涉及存在一些安全漏洞，黑客easy使用ip伪造、session劫持、xss攻击、session注入等手段危害站点安全。在纪录片《互联网之子》（建议搞IT的都要看下）中。亚伦·斯沃茨（真实人物，神一般的存在）涉嫌利用麻省理工的网络，通过ip伪造从JSTOR中下载了150万篇论文。本文通过firefox看下一个简单的ip伪造是怎样实现的。

1、client的ip是通过http的头部发送到server端的

比方，在打开网址www.baidu.com的时候。通过firebug能够看到请求头部，头部里包括client的信息，比方cookie等。

一般后台获取的clientip的代码为：

php代码：

private function _get_client_ip() {$ip = $_SERVER['REMOTE_ADDR'];if (isset($_SERVER['HTTP_CLIENT_IP']) && preg_match('/^([0-9]{1,3}\.){3}[0-9]{1,3}$/', $_SERVER['HTTP_CLIENT_IP'])) {$ip = $_SERVER['HTTP_CLIENT_IP'];

jsp代码：

public String getIpAddr(HttpServletRequest request) {String ip = request.getHeader("x-forwarded-for");if(ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {ip = request.getHeader("Proxy-Client-IP");}if(ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {ip = request.getHeader("WL-Proxy-Client-IP");}if(ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {ip = request.getRemoteAddr();}return ip;
}

代码片段即是获取clientIP，这段程序会尝试检查 HTTP_CLIENT_IP, HTTP_X_FORWARDED_FOR, 依据之前的原理说明，以 HTTP_开头的 header, 均属于client发送的内容。那么，假设client伪造 Client-Ip, X-Forward-For，不就能够欺骗此程序，达到“伪造 IP”之目的？

伪造这项值？假设你会敲代码。并了解HTTP协议，直接伪造请求 header 就可以。

或者使用 Firefox的 Moify Headers插件就可以。

2、Modify Headers伪造ip

安装Modify Headers后，加入一个X-Forwarded-For，并填入一个ip，置为可用后，打开对应网页，server就会获取到该伪造ip。

3、站点怎样防护ip伪造

既然能够通过ip伪造，站点怎样过滤这些伪造的ip? 一般做法是在应用server上强制将X-Forwarded-For的值设置为client真实ip，详细操作请自行研究。

网络中存在此漏洞的站点非常多，尤其是一些投票类的站点。通过限制ip（一个ip仅仅能投一次票，或者一个ip仅仅能在一定的时间段投一次票）来限制重复投票的站点。

别人可能会利用此漏洞来伪造ip。突破这样的限制。所以站点开发人员要重视这类安全。

网络安全之IP伪造

相关文章：

网络安全之IP伪造

ARM CCA机密计算安全模型之硬件强制安全

【论文笔记】A Token-level Contrastive Framework for Sign Language Translation

C#窗体简单登录

基于ZYNQ-7000系列的FPGA学习笔记3——开发环境搭建点亮一个LED

队列-链式描述（C++）

Kali Linux使用Netdiscover工具的详细教程

arkTS：使用ArkUI实现用户信息的持久化管理与自动填充（PersistentStorage）

IntelliJ+SpringBoot项目实战（二十）--基于SpringSecurity实现Oauth2服务端和客户端

如何实现剪裁功能

LeetCode 动态规划爬楼梯

Java 工厂模式：深度解析与应用指南

HTML5系列（5）-- SVG 集成详解

深度学习常见数据集处理方法

1180 - 【入门】数字出现次数

C++20: 像Python一样split字符串

Unity3D UI 嵌套滚动视图

你还没有将 Siri 接入GPT对话功能吗？

_C#_串口助手_字符串拼接缺失问题(未知原理)

浅析大数据时代下的网络安全

CVPR 2025 MIMO: 支持视觉指代和像素grounding 的医学视觉语言模型

智慧工地云平台源码，基于微服务架构+Java+Spring Cloud +UniApp +MySql

云启出海，智联未来｜阿里云网络「企业出海」系列客户沙龙上海站圆满落地

Cesium1.95中高性能加载1500个点

【HarmonyOS 5.0】DevEco Testing：鸿蒙应用质量保障的终极武器

大数据零基础学习day1之环境准备和大数据初步理解

为什么需要建设工程项目管理？工程项目管理有哪些亮点功能？

全球首个30米分辨率湿地数据集(2000—2022)

【SQL学习笔记1】增删改查+多表连接全解析（内附SQL免费在线练习工具）

《通信之道——从微积分到 5G》读书总结