偽造HTTP請求中的IP信息

偽造 請求中的信息偽造HTTP請求中的IP信息vdiv>vdiv>vpxspanstyle="font-size:16px;"> 很多程序需要檢測客戶端的IP地址，然后來授予相關的權限。比如數(shù)據(jù)庫讀寫，文件讀寫，等等。其實還有一個很常見的應用，網站投票。網站投票始于2000年的左右，那時候.COM正熱得發(fā)紅，紅得發(fā)紫。v/span>vbrxspanstyle="font-size:16px;"> 早期的投票只要投了就行可能技術牛人們還沒有想到一個人會多投，那個時候反正上網的人也不多，后來慢慢的COKIE驗證，IP驗證等等都出來了，但是這些還不是最保險的，因為COOKIE是放在客戶端的，可以偽造；IP可以用代理，也可以偽造請求。真的沒有什么東西是百分百保險的，這不，湖南衛(wèi)視前幾年就作出更絕的，短信+QQ—票收費1元，刷的越多他們越高興，刷吧呵呵。v/span>vbrxspanstyle="font-size:16px;">廢話不多說，進入正題v/span>vbrxspanstyle="font-size:16px;"> v/span>vspanstyle="font-size:16px;">投票如果驗證v/span>vspanstyle="font-size:16px;">COOKIE的話，把cookies刪掉繼續(xù)投，如果驗證IP的話，換個代理繼續(xù)投。如果你說換代理很麻煩？那就偽造http請求中的IP信息好了。v/span>vbr>vspanstyle="font-size:16px;"> 有人會說：IP驗證是在TCP層完成的，不是HTTP層完成的，如果偽造IP的話可能連TCP的三次握手都完不成。我這里說的不是完全意義的偽造。如果你使用透明代理上網，那么在透明代理發(fā)送給服務器端的HTTP請求中會包含x-forward-for信息。例如：v/span>vspanstyle="background-color:#c0c0c0;font-size:16px;">X-Forwarded-For:6v/span>vbr>vspanstyle="font-size:16px;"> 那么我們只要在發(fā)給服務器端的http請求中力口入v/span>vspanstyle="background-color:#c0c0c0;font-size:16px;">X-Forwarded-For:6v/span>vspanstyle="font-size:16px;">信息即可。v/span>vbr>vspanstyle="font-size:16px;">例如下邊一個請求:v/span>v/p>vp>vspanstyle="color:#8c8c8c;font-size:14px;">GETv/span>va> v/span>vdiv>vspanstyle="color:#8c8c8c;font-size:14px;">functionget_ip(){v/span>vbr>vspanstyle="color:#8c8c8c;font-size:14px;">if(getenv('HTTP_CLIENT_IP')){v/span>vbr>vspanstyle="color:#8c8c8c;font-size:14px;"> $gb_ip=

getenv('HTTP_CLIENT_IP');v/span>vbrxspanstyle="color:#8c8c8c;font-size:14px;"> }elseif(getenv('HTTP_X_FORWARDED_FOR')){v/span>vbrxspanstyle="color:#8c8c8c;font-size:14px;"> $gb_ip=getenv('HTTP_X_FORWARDED_FOR');v/span>vbr>vspanstyle="color:#8c8c8c;font-size:14px;"> }elseif(getenv('REMOTE_ADDR')){v/span>vbr>vspanstyle="color:#8c8c8c;font-size:14px;"> $gb_ip=getenv('REMOTE_ADDR');v/span>vbr>vspanstyle="color:#8c8c8c;font-size:14px;">vbr>vspanstyle="color:#8c8c8c;font-size:14px;">$_SERVER['REMOTE_ADDR'];v/span>}else{v/span>$gb_ip=vbr>vspanstyle="color:#8c8c8c;font-size:14px;">vbr>vspanstyle="color:#8c8c8c;font-size:14px;">}v/span>return$gb_ip;v/span>v/div>vdiv>vspanstyle="font-size:16px;">v/span>v/div>vbr>vbr>vspanstyle="font-size:16px;">對策：v/span>vbr>vspanstyle="font-size:16px;">這種場合我們要折中一下，即只檢測vbr>vspanstyle="font-size:16px;">這種場合我們要折中一下，即只檢測HTTP_CLIENT_IP,在ASP.NET中就該是只檢測Request.UserHostAddress。v/span>vbr>vspanstyle="font-size:16px;">總結：v/span>vbr>vspanstyle="font-size:16px;"> 客戶端IP地址檢測有不同方法，不同的方法組合適合在不同的場合，只要程序員認真審視不同場合IP檢測的方法，這里演示的方法會慢慢失效的。v/span>vbrxbrxspanstyle="font-size:16px;"> 文后附了一篇文章，因為原文已經找不到了，無奈從GOOGLE的緩存中搶救回來，放在最后，原作者together，原文網址：v/span>vahref="http:〃2O3.2O8.39.132/search?q=cache:1W8gSVqOQpsJ:/blog/28779+%E5%A6%82%E4%BD%95%E4%BC%AA%E9%80%A0IP+%E5%8F%91%E9%80%81HTTP+%E8%AF%B7%E6%B1%82&cd=6&hl=zh-CN&ct=clnk&gl=cn&client=aff-cs-maxthon&st_usg=ALhdy28gHepAnU7eJrgu0FQucQdz7UX_jQ"target="_blank">vspanstyle="color:#6466b3;font-size:16px;">點擊這里v/span>v/a>vspanstyle="font-size:16px;">。v/span>vdiv>vspanstyle="font-size:16px;">2006-10-20v/span>vbrxspanstyle="font-size:16px;">N年前CCTV的一場網絡投票大戰(zhàn)v/span>vbrxspanstyle="font-size:16px;">話說幾年前，CCTV搞了一個年度XX人物評選，與以往不同的是，這次評選采用網絡投票的方式！彼時恰逢國內.com正熱得發(fā)紅，在這一次網絡投票過程中，發(fā)生了一場“戰(zhàn)爭”。作為經歷者之一，現(xiàn)在也許可以把它講出來了。v/span>vbrxspanstyle="font-size:16px;">先說投票人數(shù)，眾所周知，我們的偉大祖國雖然人口眾多，也不過屈屈十幾億而已，在當年的上網人數(shù)，也不超過一二億，參加這次投票的，樂觀點估計，撐死了也就30%吧，那就算2億的30%,6000萬吧。v/span>vbr>vspanstyle="font-size:16px;"> 再說候選人，聚集了國內企業(yè)界精英，如張xx，陶XX,倪xx，李xx等數(shù)十人，按正常的投票規(guī)律來看，這么多候選人，票數(shù)一分散，前幾名的票數(shù)也不會超過1000萬吧？v/span>vbr>vspanstyle="font-size:16px;"> 但事實讓所有的人大掉眼鏡！v/span>vbr>vspanstyle="font-size:16px;">投票開始沒有幾天，張xx，倪xx，陶xx的票數(shù)以每天一二百萬的速度飛漲，形成了領跑的第一軍團，后面的人是拍馬也趕不上啊，望塵莫及!照這個速度，等到投票結束的時候，他們幾個還不得每人都上億票？要知道全中國一共才多少人啊，這不比國家統(tǒng)計局的數(shù)字還假嘛。v/span>vbr>vspanstyle="font-size:16px;">再說其中一位侯選人xxx，在國內也算是大有名頭的人物，此時此刻在這一場投票中竟然跌落三甲，自然極不甘心，一手下大將急老板之所急，找到我們部門，要求為大老板的投票提供支援。要我們先分析一下前三名的投票機制，再幫老板弄弄。我一位兄弟，小B，聽聞之后磨拳擦掌，誓要一展身手，此哥們平時就好搞搞反編譯、破解啥的，C++功力一流。v/span>vbr>vspanstyle="font-size:16px;">第一戰(zhàn)：v/span>vbr>vspanstyle="font-size:16px;">投票方式，列出了所有候選人的姓名，可以多選。最初的這場投票，是沒有任何條件限制的，你點鼠標就可以了，不需要注冊，更無其他限制。v/span>vbr>vspanstyle="font-size:16px;">分析過后，小B僅用了半天時間，寫了一個投票程序，自動發(fā)送http請求給CCTV網站，為顯得不要太突出，在每次投票中，不只選老板一人，在他之外，每次在其它候選人中隨機選一個人，這樣就真真假假不好分辨了。公司里幾百臺電腦，馬上全部裝上該程序，24小時開機，開始猛力投票，老板的票數(shù)可就噌噌噌地上去了......，首戰(zhàn)告捷v/span>vbr>vspanstyle="font-size:16px;">第二戰(zhàn)：v/span>vbr>vspanstyle="font-size:16px;">可能CCTV也已經意識到了票數(shù)有點異常，畢竟里面也養(yǎng)了不少御用技術人員嘛，馬上采取了補救措施，非注冊用戶不能投票！票數(shù)暫時增長放緩，但是馬上大家都更新了程序，既然你讓我注冊，我就按你的HTML里的代碼隨機生成用戶名和密碼，來自動注冊唄！票數(shù)又噌噌噌地上去了......v/span>vbrxspanstyle="font-size:16px;">第三戰(zhàn)：v/span>vbrxspanstyle="font-size:16px;">CCTV有點傻了，趕緊想轍。馬上做了一個要命的限制，從同一個IP段出來的所有用戶，只能投一票！