在正常的TCP 通信中,是可以伪造数据包来源 IP 的,但这会让发送出去的数据包返回到伪造的IP上,无法实现正常的通信。
实现TCP层级别的伪造很难,因为很难实现正常的TCP连接;但是在应用层协议HTTP上的实现较容易,通过伪造IP,能欺骗多数服务器应用程序实现通信。
对于绕过服务器的IP地址过滤或者伪造来源IP特别有用,导致的后果就是非授权IP能访问服务器,甚至能钻服务器的漏洞。
HTTP 连接基于 TCP 连接,HTTP 协议中没有 IP 的概念,只能通过X-Forwarded-For来实现。
X-Forwarded-For位于HTTP协议的请求头, 是一个 HTTP 扩展头部
HTTP/1.1(RFC 2616)协议并没有对它的定义,它最开始是由 Squid 这个缓存代理软件引入,用来表示 HTTP 请求端真实 IP。如今它已经成为事实上的标准,被各大 HTTP 代理、负载均衡等转发服务广泛使用,并被写入RFC 7239(Forwarded HTTP Extension)标准之中。
今天我就做到一道题需要,伪装自己以本机地址作为发送数据的源地址,而该题目将发送方数据的源地址变为了其他地址,所以需要声明,数据的额源地址是本机地址才行,于是就用到了 X-Forwarded-For
X-Forwarded-For: 127.0.0.1 一条简单的参数即声明了数据的源地址。简单又方便。