有人能将IP地址伪造成任意数字吗？

Question

IP地址有助于Facebook和Google确定试图访问您的帐户的人是否真的是您。我见过代理能够“欺骗”IP地址，但这不会将其更改为访问该帐户的正确地址。如果有人知道我的某个帐户的IP地址和密码，是否可能有人伪造他们的IP地址来匹配我的IP地址？这样的IP地址安全真的安全吗?把它整合到我的php脚本中会不会很好？

Answer 1

您无法有效地欺骗IP，因为如果您这样做了，http响应将发送到该IP，而不是您的IP。因此，这可能不是最好的利用你的时间。(它们可以是假的，但它们无法接收预期的数据。)

通过“接收预期数据”，我的意思是，如果有人在127.0.9.63尝试发送登录请求到Google，并欺骗他们的IP为123.53.53.234，那么Google将发送响应到123.53.53.234，而不是127.0.9.63。这意味着127.0.9.63上的潜在黑客实际上从来没有收到过任何与你账户相关的数据。

这是一种风险(但对您来说可能不是)--这是一种公认的实施DDoS (分布式拒绝服务)攻击的方式。如果你感兴趣，可以看看this article。

Answer 2

IP安全一点也不安全。任何人都很容易找到你的IP，然后把它伪装成你。基于IP检查某人是否是合适的人并不是一种强大的安全形式，但它确实有一点帮助。我建议在有问题的客户端机器上使用cookie，以便在该机器上存储一个唯一的密钥，该密钥必须与存储在服务器的数据库中的密钥相匹配。那样会更安全。

Answer 3

IP地址可以完全伪造，但无法接收任何响应数据包。因此，如果他们知道你的IP地址，他们就不能用它来冒充你。然而，我认为你错了，谷歌和Facebook使用特定的IP地址来确定你是谁。他们可能会使用地理定位来猜测似是而非，但当你回来时，他们通常会使用cookie来识别你的机器。