$ _server ['remote_addr'] variable

overview

$ _server ['remote_addr']変数保存クライアントのIPアドレスそれが現在の要求になりました。この変数のハイジャックまたはフェイクは、テストや開発などの特定のシナリオで重要です。ソケットレベルのスプーフィング：

リモートでスプーフィングしたい場合は、RAWソケットを使用してソースIPアドレスを偽造できます。ただし、これは、高レベルのソケットの実装により、PHPでは非現実的です。ゲートウェイの妥協：

ゲートウェイ（例えば、ルーター）を侵害することにより、クライアントになりすましてサーバーに見えるIPアドレスを制御できます。これには、ゲートウェイのセキュリティの完全な違反が必要です。ループバックスプーフィング：

TCP経由のループバックアドレス（127.0.0.1）を偽造するには、ローカルマシンまたはサーバーの妥協が必要です。この場合、IPアドレスを偽造することは意味が低くなります。 IPアドレスの取得については、X-HTTP-Forwarded-Forヘッダーを確認してください。このヘッダーは、リモートIPアドレスを偽造するために簡単に操作できます。これを軽減するには、フレームワークでの使用を無効にしてください。 Control-the-Server-Request-remote-addr-parameter）

[Symantec article]（https://www.symantec.com/connect/articles/spoofing-ip-network-layer）

[Linuxセキュリティ記事]（https://linuxsecurity.com/blog/ip-spoofing-and-mytigation）

summary faking $ _server [' remote_addr ']ほとんどの場合、リモートで困難で非現実的です。通常、ゲートウェイの妥協またはローカルマシンの搾取が必要です。さらに、IPアドレスの確認を損なう可能性があるため、X-HTTP-Forwarded-Forヘッダーを潜在的にチェックするフレームワークを使用することに注意してください。