我的個人部落格,源地址:http://www.woniubi.cn/get_client_ip/
前兩個星期幫一個朋友的親戚的孩子刷票,誰讓我們們是程式設計師呢。這當中也遇到過重灌系統,除灰塵,淘寶購物,盜QQ,下電影,某一個軟體為什麼不能使用等等,要是說不會,他們就說你電腦技術不是挺牛逼的嗎,這點問題都解決不了。
刷票,分為多種限制,註冊使用者,驗證碼,以及IP限制。這個刷票網站,而不,是這個投票網站,限制了IP。如果要突破限制,我們需要了解如何獲得使用者的IP。
1:getenv('HTTP_X_FORWARDED_FOR')
2:getenv('HTTP_CLIENT_IP')
3:getenv('REMOTE_ADDR')
HTTP_X_FORWARDED_FOR
這個是從http header頭部獲得,他的格式是A ip, B ip, C ip。出現這種情況的原因有兩種
- 一個網站由於流量過大,使用負載均衡,所以在應用程式前面放一個負載均衡器,使用者無法直接訪問到。
- 使用者使用代理去訪問。
使用者先是使用A IP,每增加一層代理,這個頭就會在後面多增加一個IP,以逗號分割,最後到達真正的web容器。只要是頭部獲得資訊,都是可以被偽造的。所以這種情況使用A IP 有可能不是使用者的真實IP。所以我們這種情況,我們只能把連線負載均衡的IP當做使用者的真實IP,至少這個資料是正確的。但是這個IP可能是使用者的代理IP,不是使用者的真實IP。不過這種情況至少比使用者的假ip好一些。
HTTP_CLIENT_IP
這個也是從header頭部獲得,本來是打算記錄使用者真實IP,但是很少使用到。
REMOTE_ADDR
這個就是獲得連線的IP,只有小網站才這麼使用,直接把資料暴漏出去,站點就是一個單點,沒有任何的負載均衡。如果上層使用了pxory,這個資料就是proxy的IP。
而我作惡就是直接偽造x-forwarder-for資料,然後欺騙他們,不過沒過幾天,這個漏洞被發現了,然後我就換成使用代理的方式的直接刷的。