如果 IP 地址可以通过创建虚假或操纵的 http 标头来进行欺骗,因此不应依赖它来验证我们 PHP/ASP 页面中的传入请求,那么服务器为什么会接受并依赖它呢?例如,拒绝 IP 或允许 IP 都是基于 IP 的。
除了说 PHP/ASP 通过服务器变量获取 IP 信息之外,服务器是否以其他方式(并且更可靠)获取 IP 信息?
【问题讨论】:
标签: security ip server-variables
服务器通常愿意依赖连接的 IP 地址来处理低风险流量,因为设置 TCP 会话需要 three-way handshake。只有在数据包中的 IP 地址是可路由的并且某些机器准备好处理连接时,此握手才能成功。流氓路由器可以伪造 IP 地址,但一般来说,路由器离任一端点越远,伪造连接就越困难,因此大多数人都准备依赖它进行低风险用途。 (例如,DNS 欺骗更有可能歪曲连接端点。)
高风险用户必须使用类似于TLS、IPsec 或CIPSO(很少见)的东西来验证连接端点,或者在较低层上构建用户身份验证来验证特定连接 (@987654325 @)。
但 TCP 会话的实际内容可以是任何东西——服务器不应依赖 TCP 会话的内容(例如 HTTP 标头)来忠实地报告 IP 地址或其他重要的东西。
【讨论】:
getpeername()函数直接从TCP/IP栈中获取连接的IP地址。 PHP 选择通过$_SERVER["REMOTE_ADDR"] 接口将此地址导出到脚本。
IP 地址不能被欺骗。服务器发送回复需要该地址。
PHP 从服务器获取其 $_SERVER 全局的 IP 地址(因此是变量名!),它从协议栈的较低层确定地址。
编辑:
sarnold 提出了一个很好的观点,即原则上可能会破坏路由表以误导流量。 (事实上,我相信几年前在亚洲的一级路由器中发生过这样的事件。)所以我应该澄清一下,我的评论“不能欺骗 IP 地址”是为了指出服务器变量将始终如实反映目的地IP。在服务器边界之外发生的事情完全是另一回事。
【讨论】: