我写这篇博文,意在回答流牛木马的提出的问题“请问"context.Request.UserHostAddress"这种方式,如何伪造IP?”如有不妥之处往众园友赐教。
在上一篇文章“由“ASP.NET网站限制访问频率”想到的两点问题 ”中我提到的获取用户IP的方法只是网上流传已久的“通用解决方案”而已,对于流牛木马使用的验证方式自然无效。不过仍可以给使用“通用解决方案”的朋友提个醒
。
所谓避开IP封锁的方式无非下列两种:
一:挂http代理。
这是通用性最强的一种方式,也是操作最简单的一种方式。但存在很大的缺点,首先遇到的麻烦是上哪找那么多代理服务器,最要命的是网上公布的代理通常要么很不稳定,要么延迟太厉害,稳定且速度还说得过去的找个大半天也只是屈指可数的那么几个。故而不推荐。
二:修改http报头
这也是上一篇文章中提到的方法,虽然具有一定的欺骗性,但使用上有局限。因此,亦不推荐之。
注意啦,小猪的另类方法就要闪亮登场了。
基本原理很简单。ADSL拨号上网的用户如果仔细观察每次成功拨号后分配到的IP地址就回发现,每次拨号获取的IP地址都不一样。小猪的方法就是利用了ADSL的这个特点。看到这里想必你要问了,恶意用户如果用你这个办法一遍一遍的拨号--》提交--》断开--》拨号--》提交--》断开.....如此往复永无休止,虽说可以避开IP限制,但是光点鼠标也能累个半死啊!
小猪曾经曰过“懒人自有懒办法”。这种重复而机械的劳动怎么能是新一代“犯罪分子”的风格那!重复的劳动还是交给机器去干吧。小猪的做法是使用C#调用Rasdial这个命令来实现自动拨号、断开。假设你的电脑的PPPOE拨号连接的名字是“宽带连接”,用户名是“xiaozhu”,密码是“kuaipao”,那么只要拨号上网的命令就是“rasdial 宽带连接 xiaozu kuaipao”。如果想断开已经连接上的拨号连接,请使用命令“Rasdial 宽带连接 /disconnect”;至于如何使用C#去调用dos命令,不会的可以使用找找看或者google在园子里搜索一下,示例代码早有人给出。
如此一来,“犯罪分子”就可以从重复的点鼠标中解放了出来,大大提高了犯罪效率,解放了生产力。
细心的读者可以比较一下一般情况下在使用dos命令拨号大约在3~5秒之间,比直接鼠标流要慢,具体时间开销视网速而定。但是如果是在凌晨,用命令拨号恐怕3秒都用不了。这就是为何流牛木马遭遇的恶意用户,发送间隔总是保持在3s左右的原因(推测哈!!!)。
下面几幅图就是使用dos命令拨号的实景截图,为了账号安全,涂盖了部分信息。
友情提示:rasdial这个命令只支持 windows XP 或更高版本的windows系统。windows 9x,windows 2000并不支持此命令。本贴旨在技术讨论,如有异议敬请提出。