SSL 連線可以將我的 IP 位址傳送到主機嗎？

Question 1

對於網際網路上的任何流量，您始終必須傳送您的 IP 位址（IP = 網際網路通訊協定）。單向 UDP 流量可以欺騙 IP 位址，但大多數 ISP 應該對此進行過濾。如果不發送正確的來源位址，就不可能建立 TCP 連接，且 SSL 是基於 TCP 的。

顧名思義，SSL（安全通訊端層）工作在「套接字」層。這意味著，所有以明文形式傳輸的內容（除了一些初始安全握手之外）都是來源和目標的 IP 位址和連接埠以及一些 TCP 會話資料。

Answer

對於網際網路上的任何流量，您始終必須傳送您的 IP 位址（IP = 網際網路通訊協定）。單向 UDP 流量可以欺騙 IP 位址，但大多數 ISP 應該對此進行過濾。如果不發送正確的來源位址，就不可能建立 TCP 連接，且 SSL 是基於 TCP 的。

顧名思義，SSL（安全通訊端層）工作在「套接字」層。這意味著，所有以明文形式傳輸的內容（除了一些初始安全握手之外）都是來源和目標的 IP 位址和連接埠以及一些 TCP 會話資料。

Question 2

透過與遠端主機建立連接，遠端主機就知道您的 IP。它必須這樣做才能從伺服器向您發送回應。

由於大多數時候您是透過 URL 存取主機，因此必須執行 DNS 查找。 DNS 伺服器也必須知道您的 IP 位址，並且可能會記錄或統計您要尋找的確切網域名稱。

如果您位於 NAT 之後，伺服器僅知道您的外部 IP，除非您的流量透過 Web 代理程式運行，該代理程式將您的內部 IP 作為 HTTP 標頭中的一行新增。squid例如，眾所周知的快取 Web 代理會執行此操作，除非您將其配置為不這樣做。

當然，如果您（或其他使用 HTTPS 的程式）故意將您的 IP 位址作為 HTTP 請求的一部分發送，即將其發佈到表單並位於 POST 資料中，那麼這當然是伺服器可以知道的另一種方式。

在 HTTPS 中，所有資料（標頭和正文）都經過加密，您對伺服器的請求也完全加密，其中包括確切的 URL。維基百科有關 HTTPS 的文章詳細介紹了許多「旁路」類型的攻擊，這些攻擊可能會向堅定的攔截攻擊者洩露有趣的資訊。

Answer

透過與遠端主機建立連接，遠端主機就知道您的 IP。它必須這樣做才能從伺服器向您發送回應。

由於大多數時候您是透過 URL 存取主機，因此必須執行 DNS 查找。 DNS 伺服器也必須知道您的 IP 位址，並且可能會記錄或統計您要尋找的確切網域名稱。

如果您位於 NAT 之後，伺服器僅知道您的外部 IP，除非您的流量透過 Web 代理程式運行，該代理程式將您的內部 IP 作為 HTTP 標頭中的一行新增。squid例如，眾所周知的快取 Web 代理會執行此操作，除非您將其配置為不這樣做。

當然，如果您（或其他使用 HTTPS 的程式）故意將您的 IP 位址作為 HTTP 請求的一部分發送，即將其發佈到表單並位於 POST 資料中，那麼這當然是伺服器可以知道的另一種方式。

在 HTTPS 中，所有資料（標頭和正文）都經過加密，您對伺服器的請求也完全加密，其中包括確切的 URL。維基百科有關 HTTPS 的文章詳細介紹了許多「旁路」類型的攻擊，這些攻擊可能會向堅定的攔截攻擊者洩露有趣的資訊。

相關內容