HTTPリクエストのIPアドレスはスプーフィングされますか？

作成中のWebサイトで、必要に応じて、提出物のIPアドレスを記録する予定です。プロキシは気にしませんが、あなたのIPアドレスを完全にスプーフィングすると、目的が達成できなくなります。

完全なGETアクションを実行するには、受信するかどうかにかかわらず、正当なIPアドレスが必要ですか？または、WebサイトがランダムななりすましIPアドレスからの投稿でスパムされていますか？

（POSTは別のものですか？）

いいえ、ええ、はい。または多分。「IPアドレス」データの取得元と、それらを信頼するかどうかによって異なります。

IPパケット自体からアドレスを取得している場合、パケットを送信した人がそのIPアドレスに送信されたパケットにアクセスできることを信頼できます。つまり、そのIPアドレスの正当なユーザー（ボットネット、オープンプロキシ、Torのこの時代の「正当な」という言葉の適切に制限された値に対して）、またはパケットを送信した人が中間システムにアクセスし、通過するパケットを見ることができます。

ただし、リバースプロキシが広く普及しているため、IPパケットは接続の発信元を偽ることが多いため、プロキシによって「実際の」発信元IPアドレスを提供できるように、さまざまなHTTPヘッダーが導入されています。ここでの問題は、ヘッダーを送信する人を信頼して正確な情報を提供する必要があることです。また、デフォルト（または誤ったコピーパスタ）の構成では、これらのヘッダーのなりすましに簡単にさらされる可能性があります。したがって、リバースプロキシが要求に合法的に関与しているかどうかを特定し、それら（およびWebサーバー）が適切に構成および保護されていることを確認する必要があります。

いや

（HTTPが使用する）TCP接続には、双方向通信が必要です。SYNパケットのソースIPを簡単にスプーフィングできますがSYN-ACK、サーバーからの応答は、最初のパケットでスプーフィングしたIPにルーティングされます。サーバーからの応答が表示されない限り、接続を完了できません。

ただし、Torのような匿名プロキシツールは、接続のソースを簡単に匿名化する手段を提供できます。これにより、IP禁止によるスパム制御が簡単に無効になる可能性があることに注意してください。

短い答え..今日ではありません。

過去のコンピューターは、TCPトラフィックのシーケンス番号で非常に予測可能でした。これは、攻撃者が正当なトラフィックを送信するだけで、シーケンス番号が判明し、次に何が起こるかをかなり推測できることを意味します。次に、TCPトラフィックを送信して、スプーフィングされたIPアドレスを模倣し、もう一方のホストが信じます。したがって、3ウェイハンドシェイクを偽造できます。

今日、私は10年以上と言います。コンピューターはそれをランダム化するのがはるかに優れているので、不可能ではないにしてもかなり難しいです。私の意見では、攻撃者がそれを行うのは時間の無駄です。

HTTPはTCP上で実行されます。TCPが機能するためには、GETまたはPOST要求を発行するのに十分な距離をとる前に、完全な3ウェイSYN / ACKハンドシェイクが必要です。そのため、単純なスプーフィングされたソースはあまり役に立ちません。他のより高度な形態のスプーフィング（MitM）は依然として有効です。