`

伪造来源IP欺骗

阅读更多

一,获取客户端IP目的

        一般对于访问比较频繁的接口,服务端都会根据IP做接口访问频率限制;例如,对于给定的IP,1分钟只能调用接口100次,频率过快服务端可以针对该IP进行特殊处理,比如接口直接调用失败或加入IP黑名单列表等操作。那么,对于服务端来说,能够获取客户端真实的IP信息,是至关重要的。

 

二,如何伪造来源IP,欺骗服务端

       

 

#获取客户端IP的方法(可能经过多个代理)
public String getIpAddr(HttpServletRequest request) {
       String ip = null;
       String ips = request.getHeader("X-Forwarded-For");//XFF头:client_ip,proxy1_ip,proxy2_ip...
       if(ips != null && ips.trim() != ""){ 
          ip = ips .split("\\s*,\\s*")[0];
       }
       if(ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
          ip = request.getHeader("Proxy-Client-IP");
       }
       if(ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
          ip = request.getHeader("WL-Proxy-Client-IP");
       }
       if(ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
          ip = request.getRemoteAddr();//remoteAddr取自网络层IP地址,是不可能伪造的
       }
       return ip;
}

   X-Forwarded-For头是由代理自动设置的,如果代理不设置XXF请求头,服务器端是获取不到客户端真实IP信息的,getRemoteAddr()获取的是上一层代理的IP地址,如果客户端的访问没有经过代理,那么
getRemoteAddr()获取的才是用户的真实IP。XFF头格式:client_ip,proxy1_ip,proxy2_ip...(由代理自动设置)。

   了解了服务端代码获取客户端IP的原理后可知,客户端完全可以伪造X-Forwarded-For,Proxy-Client-IP,WL-Proxy-Client-IP请求头,从而对服务端进行欺骗。可以通过程序修改请求头,也可以使用代理软件拦截请求,动态修改请求头信息。

 

三,相关疑惑

//一个伪造的IP能否跟服务端建立TCP连接通信?
答案:是不可能的,因为TCP是面向连接的协议,每个连接都需要经过三次握手建立连接。
client发送syn报文给服务端,服务端响应syn+ack报文,由于IP是伪造的,伪造的IP是接收不到服务端响应的syn+ack报文并返回ack的,也就是说三次握手根本不能正常完成,TCP连接是不可能建立的。本文讲的伪造IP欺骗服务端是基于服务端获取IP的原理,修改http请求头,完成的欺骗。其底层建立TCP通信链路的IP,肯定是真实存在的,要不然没办法进行通信和交互。
如果攻击者使用大量伪造IP,发送syn报文给服务器,会导致服务器半连接队列堆满,正常用户无法和服务器建立TCP连接,也就是所谓的syn flood攻击(DDOS攻击中的一种)。

//一个伪造的IP能否跟服务器以UDP协议进行通信
答案:单向通信,client只能单向的发送数据给服务端,同样由于IP是伪造的,接收不到服务返回的UDP报文。UDP是一个面向非连接的协议,建立通信前不需要经过三次握手建立连接,也没有消息确认ack,超时重传等保障数据安全传输的机制。但是如果大量伪造的IP,发送垃圾数据给服务器,会造成服务瘫痪,影响正常用户使用,也就是所谓的udp flood攻击(DDOS攻击中的一种)。

 

 

  • 大小: 16 KB
分享到:
评论

相关推荐

    OSPF路由欺骗和防御.pdf

    (2)入侵实战:配置路由器 R4 的接口 IP 和 OSPF 路由配置,并伪造 LS 公告,欺骗路由器 R1 和 R2。 (3)防范措施:在路由器 R1、R2 和 R3 上开启 OSPF 路由项源端鉴别功能,以防止路由欺骗攻击。 实验心得: * ...

    Asp.net获取客户端IP常见代码存在的伪造IP问题探讨

    然而,尽管伪造`REMOTE_ADDR`难度较大,但并非完全不可能,比如通过中间代理服务器进行IP欺骗。 为了解决这个问题,开发者需要采取一些防范措施: 1. **多源验证**:不要仅依赖一个头部信息,而是结合`...

    解决和防患局域网内Arp欺骗

    ARP欺骗是通过伪造ARP响应,将攻击者的MAC地址与目标主机的IP地址绑定,从而使得网络流量经过攻击者设备,达到监听、篡改或拒绝服务的目的。这种攻击利用了ARP缓存机制的脆弱性,即设备会信任接收到的任何ARP响应,...

    局域网中受ARP欺骗攻击后的解决方法

    **局域网中受ARP欺骗攻击的解决方法** ARP欺骗是一种网络攻击手段,攻击者通过发送虚假的ARP响应,使得局域网内的设备误以为攻击者的主机是网关,从而将流量转发到攻击者,这可能导致数据包被窃取、用户断线、网络...

    DNS欺骗程序

    DNS ID欺骗,又称为DNS缓存中毒或DNS劫持,是指攻击者在DNS查询过程中,通过伪造DNS响应,将用户的查询导向攻击者的服务器,而不是真实的网站。攻击者通常会监听网络流量,当发现DNS查询时,立即发送一个包含错误IP...

    ARP.rar_arp_arp 欺骗_arp欺骗_windows socket arp

    在ARP欺骗的场景下,Winsock API可能被用于发送伪造的ARP响应包,篡改网络中IP与MAC的对应关系。 描述提到“一个模拟ARP欺骗的程序,在局域网中测试通过”,这表明这个程序已经在一个实际的局域网环境中进行了验证...

    5-2019050383-周录塔-ARP欺骗攻击1

    1. 对主机实施ARP欺骗攻击:通过工具如NetFuke或Sniffer构造并发送伪造的ARP请求,使目标主机的ARP缓存表中存储错误的IP-MAC对应关系。当目标主机尝试通信时,数据包会被定向到攻击者的主机,从而实现数据的拦截或...

    局域网受到ARP欺骗攻击的解决办法

    ARP(Address Resolution Protocol)欺骗攻击是一种在网络层实现的攻击方式,它通过伪造ARP响应包来篡改局域网内的ARP缓存表,使得网络通信的数据包被发送到攻击者控制的机器上,进而达到窃取信息、中断服务等目的。...

    交换环境下的ARP欺骗和Sniffer

    ARP欺骗是指攻击者发送伪造的ARP响应包,使目标计算机或路由器将错误的物理地址映射到正确的IP地址上,从而导致数据包被发送到错误的地址,实现中间人攻击(MITM)。 1. **准备工作** - **操作系统及工具选择**:...

    5-2019051091-钟颖谦-ARP欺骗攻击1

    1. 对主机的ARP欺骗攻击:攻击者向目标主机发送伪造的ARP请求,让目标主机误认为攻击者的MAC地址是某个特定主机(如网关)的MAC,导致目标主机的数据包被转发至攻击者,而非实际的目标。这会导致目标主机无法正常...

    防范局域网内ARP欺骗的措施.docx

    6. **教育用户**:提高用户的安全意识,让他们了解ARP欺骗的危害,避免运行不明来源的软件或访问不安全的网站。 7. **使用安全的网络架构**:如使用VLAN(虚拟局域网)隔离不同区域的网络,减少ARP欺骗的影响范围。...

    ARP欺骗攻击路由器定义.pdf

    ARP欺骗攻击是网络安全领域中的一种常见威胁,主要利用了局域网中IP地址与MAC地址之间的映射机制。ARP(Address Resolution Protocol)协议是用于将网络层的IP地址转换为数据链路层的物理地址(通常为MAC地址)的...

    DNS欺骗原理及其防御方案

    DNS ID欺骗是指攻击者通过伪造DNS响应报文中的交易ID(Transaction ID),使DNS服务器误认为接收到的是合法响应,从而将恶意IP地址返回给用户。这种攻击通常发生在客户端与DNS服务器之间的通信过程中,尤其是当双方...

    信息安全技术:ARP欺骗的防御.pptx

    对用户进行网络安全教育,让他们了解ARP欺骗的危害,提高防范意识,不轻易点击未知链接,不下载来源不明的软件,也是防止ARP欺骗的重要一环。 综上所述,防御ARP欺骗需要综合运用多种技术和策略,并且随着网络攻击...

    基于ARP欺骗内网渗透和防范.pdf

    1. **假冒应答**:当主机A试图通过ARP请求找到主机B的MAC地址时,攻击者C可以通过伪造ARP应答包,使主机A误以为C就是B,从而将本应发往B的数据发送给C。 2. **延迟应答策略**:为了确保主机A的ARP缓存中存储的是攻击...

    DNS欺骗攻击的检测和防范_闫伯儒1

    DNS欺骗攻击是一种针对DNS系统的攻击手法,其核心在于攻击者通过伪造DNS响应,误导用户或系统访问错误的IP地址,从而实现诸如钓鱼、数据窃取或其他恶意目的。这种攻击方式具有高度隐蔽性,因为攻击者可以伪装成合法...

    Sniffer案例分析-ARP欺骗

    ARP欺骗的关键在于,攻击者可以伪造ARP响应,声称自己是网络中的另一个设备。例如,攻击者可以假装成路由器,向网络中的其他设备发送虚假的ARP条目,使它们误认为攻击者的MAC地址是路由器的地址。这样一来,所有原本...

    第01篇:搭建匿名SMTP服务器1

    这种行为被称为电子邮件欺骗,或者邮件伪造。在本文中,我们将讨论如何搭建一个匿名SMTP服务器,并了解SPF(Sender Policy Framework)在防止邮件伪造中的作用。 首先,我们来看一个实例。test.com域没有配置SPF,...

Global site tag (gtag.js) - Google Analytics