我知道您可以通过在 IP 数据包的标头中放置假 IP 来轻松欺骗源 IP。但是,由于 HTTP 协议使用 TCP,因此需要握手。如果攻击者使用了欺骗性的 IP,那么返回的数据包将永远不会到达攻击者,握手也不会完成。
所以我的假设是这是不可能的。但是,如果攻击者在握手完成后伪造 IP 怎么办?
更具体地说:有没有办法伪造 HttpRequest.UserHostAddress 的 ASP.NET MVC 属性?有兴趣知道 ASP.NET Core 是否也是同样的情况
我知道如果客户端正在使用代理,那么该字段将报告预期的代理服务器 IP。我更想知道是否可以随意使用任意值伪造此字段。例如,即使攻击者来自外部环境,也将其伪造为 127.0.0.1。