欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  IT编程

从刷票了解获得客户端IP的方法

程序员文章站 2022-05-13 21:31:59
前两个星期帮一个朋友的亲戚的孩子刷票,谁让咱们是程序员呢。这当中也遇到过重装系统,除灰尘,淘宝购物,盗qq,下电影,某一个软件为什么不能使用等等,要是说不会,他们就说你电脑...

前两个星期帮一个朋友的亲戚的孩子刷票,谁让咱们是程序员呢。这当中也遇到过重装系统,除灰尘,淘宝购物,盗qq,下电影,某一个软件为什么不能使用等等,要是说不会,他们就说你电脑技术不是挺牛逼的吗,这点问题都解决不了。

刷票,分为多种限制,注册用户,验证码,以及ip限制。这个刷票网站,而不,是这个投票网站,限制了ip。如果要突破限制,我们需要了解如何获得用户的ip。

getenv('http_x_forwarded_for')
getenv('http_client_ip')
getenv('remote_addr')

http_x_forwarded_for

这个是从http header头部获得,他的格式是a ip, b ip, c ip。出现这种情况的原因有两种

一个网站由于流量过大,使用负载均衡,所以在应用程序前面放一个负载均衡器,用户无法直接访问到。
用户使用代理去访问。
用户先是使用a ip,每增加一层代理,这个头就会在后面多增加一个ip,以逗号分割,最后到达真正的web容器。 只要是头部获得信息,都是可以被伪造的。所以这种情况使用a ip 有可能不是用户的真实ip。所以我们这种情况,我们只能把连接负载均衡的ip当做用户的真实ip,至少这个数据是正确的。但是这个ip可能是用户的代理ip,不是用户的真实ip。不过这种情况至少比用户的假ip好一些。

http_client_ip

这个也是从header头部获得,本来是打算记录用户真实ip,但是很少使用到。

remote_addr

这个就是获得连接的ip,只有小网站才这么使用,直接把数据暴漏出去,站点就是一个单点,没有任何的负载均衡。如果上层使用了pxory,这个数据就是proxy的ip。

而我作恶就是直接伪造x-forwarder-for数据,然后欺骗他们,不过没过几天,这个漏洞被发现了,然后我就换成使用代理的方式的直接刷的。