目前很多网站的涉及存在一些安全漏洞，黑客容易使用ip伪造、session劫持、xss攻击、session注入等手段危害网站安全。在纪录片《互联网之子》（建议搞IT的都要看下）中，亚伦·斯沃茨（真实人物，神一般的存在）涉嫌利用麻省理工的网络，通过ip伪造从JSTOR中下载了150万篇论文。本文通过firefox看下一个简单的ip伪造是如何实现的。

       1、客户端的ip是通过http的头部发送到服务器端的

      比如，在打开网址www.baidu.com的时候，通过firebug可以看到请求头部，头部里包含客户端的信息，比如cookie等。

 一般后台获取的客户端ip的代码为：

php代码：

jsp代码：

   代码片段即是获取客户端IP，这段程序会尝试检查 HTTP_CLIENT_IP, HTTP_X_FORWARDED_FOR, 根据之前的原理说明，以 HTTP_开头的 header,  均属于客户端发送的内容。那么，如果客户端伪造 Client-Ip, X-Forward-For，不就可以欺骗此程序，达到“伪造 IP”之目的？

      伪造这项值？如果你会写程序，并了解HTTP协议，直接伪造请求 header 即可。或者使用 Firefox的Moify Headers插件即可。

     2、Modify Headers伪造ip

   安装Modify Headers后，添加一个X-Forwarded-For，并填入一个ip，置为可用后，打开相应网页，服务器就会获取到该伪造ip。

3、网站如何防护ip伪造

     既然可以通过ip伪造，网站如何过滤这些伪造的ip? 一般做法是在应用服务器上强制将X-Forwarded-For的值设置为客户端真实ip，具体操作请自行研究。

       网络中存在此漏洞的网站很多，尤其是一些投票类的网站，通过限制ip（一个ip只能投一次票，或者一个ip只能在一定的时间段投一次票）来限制反复投票的网站。别人可能会利用此漏洞来伪造ip，突破这种限制。所以网站开发者要重视这类安全。

     本文部分内容参考了博客构造HTTP请求 Header 实现“伪造来源 IP” ， 

from:http://blog.csdn.net/jrn1012/article/details/39763819