【實(shí)測(cè)】通過(guò)STUN繞過(guò)代理獲取訪客真實(shí)IP的可行性

        前言：最近專業(yè)課有作業(yè)，選了ip追蹤和反追蹤這個(gè)題目，于是乎，就有了這篇文章。

        首先，了解一下STUN的概念。STUN（Simple Traversal of UDP over NATs，NAT 的UDP簡(jiǎn)單穿越）是一種網(wǎng)絡(luò)協(xié)議，它允許位于NAT（或多重NAT）后的客戶端找出自己的公網(wǎng)地址，查出自己位于哪種類型的NAT之后以及NAT為某一 個(gè)本地端口所綁定的Internet端端口。這些信息被用來(lái)在兩個(gè)同時(shí)處于NAT 路由器之后的主機(jī)之間建立UDP通信。該協(xié)議由RFC 3489定義。

        Firefox 跟 Chrome支持WebRTC可以向STUN服務(wù)器請(qǐng)求，返回內(nèi)外網(wǎng)IP，不同于XMLHttpRequest請(qǐng)求，STUN請(qǐng)求開(kāi)發(fā)者工具當(dāng)中看不到網(wǎng)絡(luò)請(qǐng)求的Firefox 跟 Chrome支持WebRTC可以向STUN服務(wù)器請(qǐng)求，返回內(nèi)外網(wǎng)IP，不同于XMLHttpRequest請(qǐng)求，STUN請(qǐng)求開(kāi)發(fā)者工具當(dāng)中看不到網(wǎng)絡(luò)請(qǐng)求的！

        經(jīng)常玩黑的小伙伴，以為掛×××或者代理就安全了嗎？小心被查水表，哈哈。下面我分別進(jìn)行上述兩個(gè)的實(shí)際測(cè)試。

        測(cè)試代碼的Github鏈接：https://github.com/diafygi/webrtc-ips

        測(cè)試網(wǎng)址：http://p2j.cn/tools/ip.html （建議不要使用IE瀏覽器測(cè)試，當(dāng)然在控制臺(tái)也是可以測(cè)試的）

        首先來(lái)看看google的goagent代理開(kāi)啟后的測(cè)試結(jié)果……好吧，本機(jī)內(nèi)外網(wǎng)IP被獲取了

         ##本文出自:http://zerosecurity.blog.51cto.com##

        再看看使用×××的效果，本機(jī)內(nèi)外網(wǎng)IP和×××的IP全都被獲取……

    so…… 你懂得

    再送一枚Github相關(guān)代碼：https://github.com/natevw/ipcalf/