【实测】通过STUN绕过代理获取访客真实IP的可行性

前言:最近专业课有作业,选了ip追踪和反追踪这个题目,于是乎,就有了这篇文章。

首先,了解一下STUN的概念。STUN(Simple Traversal of UDP over NATs,NAT 的UDP简单穿越)是一种网络协议,它允许位于NAT(或多重NAT)后的客户端找出自己的公网地址,查出自己位于哪种类型的NAT之后以及NAT为某一 个本地端口所绑定的Internet端端口。这些信息被用来在两个同时处于NAT 路由器之后的主机之间建立UDP通信。该协议由RFC 3489定义。

Firefox 跟 Chrome支持WebRTC可以向STUN服务器请求,返回内外网IP,不同于XMLHttpRequest请求,STUN请求开发者工具当中看不到网络请求的Firefox 跟 Chrome支持WebRTC可以向STUN服务器请求,返回内外网IP,不同于XMLHttpRequest请求,STUN请求开发者工具当中看不到网络请求的!

经常玩黑的小伙伴,以为挂VPN或者代理就安全了吗?小心被查水表,哈哈。下面我分别进行上述两个的实际测试。

测试代码的Github链接:https://github.com/diafygi/webrtc-ips

测试网址:http://p2j.cn/tools/ip.html (建议不要使用IE浏览器测试,当然在控制台也是可以测试的)

首先来看看google的goagent代理开启后的测试结果……好吧,本机内外网IP被获取了

再看看使用VPN的效果,本机内外网IP和VPN的IP全都被获取……

so…… 你懂得

再送一枚Github相关代码:https://github.com/natevw/ipcalf/

时间: 2024-10-07 00:07:09

【实测】通过STUN绕过代理获取访客真实IP的可行性的相关文章

安装mod_rpaf让apache获取访客真实IP

安装mod_rpaf让apache获取访客真实IP 安装mod_rpaf让apache获取访客真实IP 作者:朱 茂海 /分类:Apache 字号:L M S mod_rpaf是apache的一个模块,目的是为了获取访客的真实IP,下面是安装方法: wget http://stderr.net/apache/rpaf/download/mod_rpaf-0.6.tar.gz tar xvfz mod_rpaf-0.6.tar.gz cd mod_rpaf-0.6 /usr/local/apach

使用LVS或者阿里云的SLB后如何获取访客真实的IP地址

阿里云服务器使用SLB后如何获取真实IP(使用LVS等负载均衡方案之后如何获取真实的IP) 使用7层负载均衡之后最终realserver的访问都是由proxy发起的,所以日志中记录的访问IP都是proxy的IP,这时候如果想获取真实IP,阿里云官方提供了使用 http_realip_module或者mod_rpaf来获取真实IP(这种办法除了可以获取IP记录到日志中,还可以禁止特定IP访问站点),这种方法有个弊病就是需要配置文件里面把proxy的请求IP全写进去,而且如果SLB的服务器集群扩容,

django中获取访客的ip

1 import os 2 import logging 3 4 class safdView(View): 5 6 def getIPFromDJangoRequest(self, request): 7 logging.basicConfig(filename=os.path.join(os.getcwd(), 'log.txt'), level=logging.DEBUG) 8 if 'HTTP_X_FORWARDED_FOR' in request.META: 9 logging.deb

获取访客IP、地区位置信息、浏览器、来源页面

<?php //这个类似用来获取访客信息的 //方便统计 class visitorInfo { //获取访客ip public function getIp() { $ip=false; if(!empty($_SERVER["HTTP_CLIENT_IP"])){ $ip = $_SERVER["HTTP_CLIENT_IP"]; } if (!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) { $ips = explod

PV(访问量)、UV(独立访客)、IP(独立IP) (转)

网站统计中的PV(访问量):UV(独立访客):IP(独立IP)的定义与区别今天使用了雅虎统计,看到里面就有这个,就说说,其实里面的uv大家可能觉得很新奇,但是和站长统计里的独立访客是一样的嘛.--------首先来看看ip.uv和pv的定义----------PV(访问量):即Page View, 即页面浏览量或点击量,用户每次刷新即被计算一次.UV(独立访客):即Unique Visitor,访问您网站的一台电脑客户端为一个访客.00:00-24:00内相同的客户端只被计算一次.IP(独立IP

PHP获取用户的真实IP地址

本文出至:新太潮流网络博客 PHP获取用户的真实IP地址,非代理IP function getClientIP(){ global $ip; if(getenv("HTTP_CLIENT_IP")){ $ip = getenv("HTTP_CLIENT_IP"); }else if(getenv("HTTP_X_FORWARDED_FOR")){ $ip = getenv("HTTP_X_FORWARDED_FOR"); }e

获取用户的真实ip

常见的坑有两个: 一.获取的是内网的ip地址.nginx作为代理层,转发请求到php,java等应用容器上.结果php获取的是nginx代理服务器的ip,表现为一个内网的地址. 二.获取的是攻击者伪造的ip地址.攻击者可以随便伪造一个头部信息,随便填写一个ip放到头部发过来,php获取到HTTP_CLIENT_IP.为避免伪造,不要使用discuz原来的获取ip函数,里面的判断优先级会使得攻击者容易伪造ip. php代码: function getIP() { if (getenv("HTTP_

Java 通过HttpRequest获取请求用户真实IP地址

在JSP里,获取客户端的IP地址的方法是:request.getRemoteAddr(),这种方法在大部分情况下都是有效的.但是在通过了Apache,Squid,nginx等反向代理软件就不能获取到客户端的真实IP地址了. 如果使用了反向代理软件,将http://192.168.1.110:2046/ 的URL反向代理为 http://www.javapeixun.com.cn / 的URL时,用request.getRemoteAddr()方法获取的IP地址是:127.0.0.1 或 192.

IpUtils获取用户请求真实ip工具类

import org.slf4j.Logger; import org.slf4j.LoggerFactory; import javax.servlet.http.HttpServletRequest; import java.net.InetAddress; import java.net.UnknownHostException; /** * IP工具类 * @author justin.zheng * @date 2020/2/12 15:08 */ public class IpUti