摘要：這是一個被爆出來的隨機(jī)數(shù)漏洞，如果我知道了服務(wù)端的隨機(jī)數(shù)漏洞，那么完全可以利用這一點(diǎn)來偽造出一個完美的假。

原文：http://www.l4zy.com/posts/how-to-get-real-ip-address.html

寫這篇文章緣起SF的一個問題 http://segmentfault.com/q/1010000000686700/a-1020000000687155。由此我想到了很多，就和大家隨便聊聊吧

在PHP中獲取ip地址有一段網(wǎng)上流傳甚廣的代碼，還有它的各種變種

function real_ip()
{
    static $realip = NULL;

    if ($realip !== NULL)
    {
        return $realip;
    }

    if (isset($_SERVER))
    {
        if (isset($_SERVER["HTTP_X_FORWARDED_FOR"]))
        {
            $arr = explode(",", $_SERVER["HTTP_X_FORWARDED_FOR"]);

            /* 取X-Forwarded-For中第一個非unknown的有效IP字符串 */
            foreach ($arr AS $ip)
            {
                $ip = trim($ip);

                if ($ip != "unknown")
                {
                    $realip = $ip;

                    break;
                }
            }
        }
        elseif (isset($_SERVER["HTTP_CLIENT_IP"]))
        {
            $realip = $_SERVER["HTTP_CLIENT_IP"];
        }
        else
        {
            if (isset($_SERVER["REMOTE_ADDR"]))
            {
                $realip = $_SERVER["REMOTE_ADDR"];
            }
            else
            {
                $realip = "0.0.0.0";
            }
        }
    }
    else
    {
        if (getenv("HTTP_X_FORWARDED_FOR"))
        {
            $realip = getenv("HTTP_X_FORWARDED_FOR");
        }
        elseif (getenv("HTTP_CLIENT_IP"))
        {
            $realip = getenv("HTTP_CLIENT_IP");
        }
        else
        {
            $realip = getenv("REMOTE_ADDR");
        }
    }

    preg_match("/[d.]{7,15}/", $realip, $onlineip);
    $realip = !empty($onlineip[0]) ? $onlineip[0] : "0.0.0.0";

    return $realip;
}

這段代碼的原理是從HTTP_X_FORWARDED_FOR以及HTTP_CLIENT_IP還有REMOTE_ADDR中獲取ip地址。

這段代碼有問題嗎？如果從功能角度來看，它是沒有問題的，因?yàn)樗ＷC了你可以盡可能地獲取到一個ip地址，如果你地程序不需要驗(yàn)證這個ip地址是否正確，只是為了顯示它的來源，那么你可以這樣做沒問題。

但是很多情況下我們需要確切地知道當(dāng)前跟服務(wù)器連接的是哪個ip，那這段代碼就不妥了。

在PHP的$_SERVER變量中，凡是以HTTP_開頭的鍵值都是直接從客戶端的HTTP請求頭中直接解析出來的。

這句話啥意思，意思就是客戶端告訴你ip是多少就是多少，偽造它的成本可以說非常低。除了這兩個以HTTP_開頭的地址外，還有一個REMOTE_ADDR地址，這個地址是與你的服務(wù)器進(jìn)行實(shí)際tcp連接的地址，它是一個可信賴的地址。要偽造這個地址成本很高，這是由于TCP三次握手協(xié)議的原理決定的，除非你能騙過服務(wù)器端的路由，那這樣的成本就太高了，還不如直接黑進(jìn)你的服務(wù)器

上圖是一個經(jīng)過簡化的TCP握手協(xié)議，握手就是指在你正式傳輸信息之前，客戶端和服務(wù)端確認(rèn)雙方是否可信的過程，這三步可以通俗化成下面的過程

小C (Client) 向小S (Server) 發(fā)了一封信（SYN），告訴它我要寄一個包裹 (數(shù)據(jù)) 給你，但是為了保證這個包裹你能收到，我先發(fā)一封信確認(rèn)下你的地址 (Server IP) 是不是正確的，怎么確認(rèn)呢？收到這封信后請按信上的地址 (Client IP) 回信就行了。

小S收到了這封信以后一想，我不僅要回信確認(rèn)我的地址是存在的(ACK)，還要問問你的地址是不是正確的，要不然我咋知道你是不是靠譜的人。于是小S給小C發(fā)了一封回信，不僅在信里確認(rèn)自己的地址是正確的(ACK)，也要求(SYN)小C在收到信件后給自己發(fā)一封回信，以確認(rèn)他的地址也是真實(shí)的。要不然我會拒絕你的連接

小C在收到小S的確認(rèn)后，馬上發(fā)了一封回信(ACK)告訴我已經(jīng)收到信了

從此它們就可以愉快的通信了。

如果小C沒有收到小S的確認(rèn)信，但他也發(fā)了一封回信騙小S說自己已經(jīng)收到了，怎么破？

這個問題實(shí)際上在TCP協(xié)議中已經(jīng)解決了，每個SYN請求都會包含一個隨機(jī)數(shù)字，發(fā)送回信ACK的時候，必須一并將這個數(shù)字加一再發(fā)回去。這樣我們收到ACK的時候只要確認(rèn)這個值是否正確就行了。

如果郵政局被收買了怎么？

這確實(shí)是一個風(fēng)險，這就是我剛才提到的，路由器被黑掉的可能。這也就是很多人為什么說互聯(lián)網(wǎng)的基礎(chǔ)是非常脆弱的，只要公網(wǎng)上的其中一個路由器說了假話，所有經(jīng)過這個路由器的數(shù)據(jù)都會變成不可信的。

但同時這個成本非常高，因?yàn)槁酚善鞯陌踩墑e通常是很高的，而且一般的路由器管理端口也不會向普通訪問者開放。所以能做到這一點(diǎn)的黑客，通常會選擇直接去黑你的服務(wù)器。

這就好比我為了寄點(diǎn)東西噁心你一下，還要去賄賂一整個郵政局，顯然不劃算。還不如我直接買張火車票，趕到你的住處，把你門撬了，放你桌上。

SYN FLOOD攻擊

也就是SYN洪水攻擊，看了上面的解釋你應(yīng)該大概知道SYN是啥意思了，就是一個詢問包。所謂SYN洪水攻擊就是指Client發(fā)送第一個SYN包的時候，告訴Server的源地址是一個假的，當(dāng)Server發(fā)送回執(zhí)時會進(jìn)入到一個half-open（半開）狀態(tài)。

為啥叫半開，因?yàn)檫@個端口只開了一半，握手過程已經(jīng)開始，但還有一半沒完成。這個半開連接大家應(yīng)該都聽過，早先玩迅雷下載或者bt的時候都需要打一個windows半開連接數(shù)補(bǔ)丁，就是因?yàn)樽烂娌僮飨到y(tǒng)的計算資源是優(yōu)先傾向于GUI的，當(dāng)系統(tǒng)處于半開連接時因?yàn)樘幱诘却隣顟B(tài)，是會消耗內(nèi)存和計算資源的，所以操作系統(tǒng)會默認(rèn)把這個值調(diào)低，限制你能接受的連接。而我們p2p下載又需要比較高的連接量，所以就有了這個補(bǔ)丁，把它的限制打開。

我花這段篇幅解釋半開連接數(shù)并不是沒事找事，這其實(shí)就是SYN FLOOD攻擊的原理。因?yàn)楫?dāng)系統(tǒng)處于半開狀態(tài)時要消耗資源，而服務(wù)器往往半開連接數(shù)限制都比較大（或者干脆沒限制），因此接第一段的話，因?yàn)榉?wù)器得到的源地址是個假的，發(fā)送回執(zhí)后肯定會收不到確認(rèn)，因此就會進(jìn)入到漫長的等待過程（相對于響應(yīng)時間）。攻擊者通過偽造大量的這種無效請求，使服務(wù)器端等待大量連接，從而耗盡服務(wù)器資源，以達(dá)到使其癱瘓的目的。

想看看你是不是受到了此種攻擊，只需要在netstat時看看是不是有大量的SYN_RCVD連接即可。SYN_RCVD表示服務(wù)器處于握手的第二步。

隨機(jī)數(shù)的漏洞

我先將剛剛講過的一個問題引用下

  
如果小C沒有收到小S的確認(rèn)信，但他也發(fā)了一封回信騙小S說自己已經(jīng)收到了，怎么破？

  這個問題實(shí)際上在TCP協(xié)議中已經(jīng)解決了，每個SYN請求都會包含一個隨機(jī)數(shù)字，發(fā)送回信ACK的時候，必須一并將這個數(shù)字加一再發(fā)回去。

這段話段的關(guān)鍵在于“隨機(jī)數(shù)”這三個字，因?yàn)槲覀冞@個驗(yàn)證過程的一大基礎(chǔ)是Server生成的隨機(jī)數(shù)是不可能被Client端提前知道的，這就好比打撲克時你不可能知道其他人的牌是什么，一個道理。

但如果這個Client是個賭神呢？

  
http://www.securityfocus.com/bid/25348/discuss

  根據(jù)安全機(jī)構(gòu)的研究，Linux內(nèi)核中包含了一個可導(dǎo)致Dos和權(quán)限提升的漏洞，可以被黑客利用來運(yùn)行攻擊代碼。這是一個核心內(nèi)存的堆棧溢出問題，可以導(dǎo)致系統(tǒng)的崩潰，再特定的環(huán)境下，還可以提升權(quán)限。這個漏洞影響到了Linux內(nèi)核2.6.22.3前的版本。

這是一個被爆出來的隨機(jī)數(shù)漏洞，如果我知道了服務(wù)端的隨機(jī)數(shù)漏洞，那么完全可以利用這一點(diǎn)來偽造出一個完美的假ip。

那我們到底該相信哪個ip呢？

首選REMOTE_ADDR，因?yàn)殡m然有如此多地偽造方法，但在語言層面你只能選一個最可靠地。

如果你地服務(wù)隱藏在負(fù)載均衡或者緩存系統(tǒng)后面，它通常會給你發(fā)一個Client-Ip或者X-Forwarded-For的HTTP頭，告訴你跟它連接的客戶端ip，這時的HTTP_CLIENT_IP和HTTP_X_FORWARDED_FOR是可信的，因?yàn)樗菑那岸朔?wù)器上的直接傳遞過來的，當(dāng)然你必須在程序中指定只信任這一個來源，而不要像最開始的代碼那樣每個都檢測一遍