XFF
介绍
- X-Forwarded-for:简称XFF,它代表客户端,也就是HTTP请求的真实IP,只有在通过了HTTP代理或者负载均衡器时才会添加该项
头格式
- X-Forwarded-For:真实IP,代理IP1,代理IP2,代理ip3, ...(参数可以拦截伪造)
参数变化
- 使用了追加原理:代理服务器 每成功收到一个请求,就把 请求来源的IP地址 添加到右边
X-Forwarded-For:
经过1个代理服务器后=> X-Forwarded-For:真实ip
经过2个代理服务器后=> X-Forwarded-For:真实ip、代理ip1
....
经过n个代理服务器后=> X-Forwarded-For:真实ip、代理ip1.....代理ip(n-1) 【最后的代理服务器是直接连接服务器,所以不再添加ip参数,ip(n)可以在服务端使用Remote Address 字段直接获得】
使用XFF的思路
1.ip溯源
代理服务器代理一次就会把发送过来的ip写到xff,可以通过xff获取真实ip
2.绕过网站登录限制
如果存在后台网站登录记录你尝试登录次数并进行登录限制,可以通过xff修改代理ip,使得后台记录登录的ip不同,绕过登录次数限制,达到对目标网站进行爆破的目的