先说一点:其实不算是突破ip限制,因为事实上,这个限制是在服务器端的,客户端在牛逼,也突破不了..只是可以一直刷多次票罢了
一个朋友突然发了一个网站,让我帮她投投票..我这人一项比较好说话,就帮她投了.顺便分析了这个网站,发现这个网站的投票系统有ip限制,但是投票是一个ajax请求.那么办法就出来了.
很多投票PC网站都是依靠限制ip,来限制投票人数.那么我用curl伪造IP,那么就可以轻易制造多个IP进行投票.
下面贴上PHP代码:
由于对方是GET AJAX请求,我这里就贴上GET方法,POST方法请自行修改
由于网站限制是一个ip限制1个小时投30个票,因此,我这里就是随机的.
如果网站是限制1个ip投1个,那么最好把ip修改为顺序生成国内ip,这样可以不重复.
然后我在开启,apache ab,每次并发20个投票..很快票就刷上去了.
那么面对这样的恶意刷票有什么解决办法呢?
我没有什么好的办法防御.但是我这样的curl实际上就是webservice访问,这样的访问是不带session或者cookie的,当然,curl也可以模拟带上cookie,然后在带上phpsessionid从而来带上session.
但是对于一个未知网站而言,并不知道他的处理方式.因此,如果判断是否存在session会有效抵挡一批刷票.但是在提示的时候切勿提示是缺少session这样的文字.最好在给session一个有效时期,这样的安全度会提高(但是如果刷票者知道这样的原理,并不意味能防御住他)
补充一点:很多代码上说能够获取访问者真实的IP地址,这个我没有遇过到正确的能够获取用户真实ip的方法.如果有的话,欢迎留言
如果有什么好的防御方案,希望留言.
有时候如果超时可能会导致脚本中断,最好在配合一个crond来每分钟都执行一下脚本
脚本代码为:
#!/bin/sh
pid=`ps -ef |grep localhost/vote.php |grep vote.php | awk '{print $2}'`;
if [[ $pid == "" ]];then
echo "vote is start";
nohup /usr/bin/ab -n 100000 -c 20 http://localhost/vote.php
else
echo "vote.php is running";
fi
另外可以不用使用nohup来后台执行
在开启crond每分钟跑起来
crontab -e
* * * * * /www/web/default/Controller/Script/vote.sh
前5个*号就是代表每个分钟都执行这个脚本..如果不详,请查阅cron资料
在开启cron
service crond start
大工告成,安心让他自动刷吧.你可以去忙别的事了
Windows系统请自行计划任务,我这里就不帖代码了