IPv4 Games , một trò chơi kiểm soát lãnh thổ trực tuyến nơi người chơi cạnh tranh để chiếm các địa chỉ IP trên internet, đã bị thống trị bởi một người chơi duy nhất đã quản lý kiểm soát hơn 9 triệu địa chỉ. Người chơi femboy.cat hiện đang nắm giữ 196 trong số 256 khối /8 có thể, đại diện cho khoảng 0,2% toàn bộ không gian địa chỉ IPv4 .
Top 5 Bảng Xếp Hạng Hiện Tại
| Thứ Hạng | Người Chơi | Địa Chỉ Được Kiểm Soát | Khối Được Kiểm Soát |
|---|---|---|---|
| 1 | femboy.cat | 9,052,623 | 196 |
| 2 | jackson | 20,316 | 7 |
| 3 | https://ipv4.quest/ | 5,488 | 3 |
| 4 | jart | 1,779 | 2 |
| 5 | ford | 773 | 0 |
Cách thức đạt được những tuyên bố khổng lồ
Phân tích của cộng đồng đã tiết lộ phương pháp có khả năng đằng sau thành tích ấn tượng này. Các nhà phát triển kiểm tra mã nguồn của trò chơi đã phát hiện một lỗ hổng trong cách máy chủ xử lý HTTP headers. Hệ thống tuyên bố dường như tôn trọng X-Forwarded-For header, thường được sử dụng bởi proxy để chỉ ra địa chỉ IP gốc của client. Điều này cho phép một người dùng duy nhất lặp qua toàn bộ dải IPv4 và gửi tuyên bố cho từng địa chỉ bằng cách thao túng trường header này.
X-Forwarded-For header thường được sử dụng trong các ứng dụng web để xác định địa chỉ IP gốc của client kết nối thông qua HTTP proxy hoặc load balancer. Trong trường hợp này, có vẻ như máy chủ trò chơi chấp nhận những header này mà không có xác thực phù hợp.
Lý thuyết và suy đoán của cộng đồng
Trong khi lý thuyết thao túng header có vẻ hợp lý nhất, cộng đồng đã đề xuất một số giải thích khác cho việc tuyên bố địa chỉ khổng lồ. Một số gợi ý việc sử dụng dịch vụ VPN dân cư, định tuyến lưu lượng thông qua kết nối internet tại nhà của người dùng thường, cung cấp quyền truy cập vào một loạt các địa chỉ IP. Những người khác suy đoán về khả năng sử dụng botnet, mặc dù hầu hết bác bỏ điều này là không có khả năng xét đến quy mô cần thiết.
Không ai sẽ lãng phí một botnet với 9 triệu IP duy nhất như thế này.
Tốc độ nhanh của các tuyên bố thành công được hiển thị trong nguồn cấp hoạt động gần đây của trò chơi hỗ trợ lý thuyết tự động, với các địa chỉ mới được tuyên bố mỗi vài giây trên các khu vực địa lý và nhà cung cấp mạng khác nhau.
Tác động đến cân bằng trò chơi
Sự thống trị của một người chơi duy nhất đã thay đổi cơ bản bối cảnh cạnh tranh của IPv4 Games . Những người chơi khác như jackson với 20.316 địa chỉ và https://ipv4.quest/ với 5.488 địa chỉ có vẻ không đáng kể so với điều này. Điều này đã khiến một số thành viên cộng đồng gợi ý rằng những người chơi nhỏ hơn có thể tốt hơn nên hình thành liên minh thay vì cạnh tranh cá nhân chống lại sự đối lập áp đảo như vậy.
Hệ thống bảng xếp hạng của trò chơi thực sự có thể góp phần vào sự tập trung quyền lực này, vì ở đầu bảng thu hút nhiều sự chú ý hơn và có khả năng nhiều người dùng sẵn sàng quyên góp địa chỉ IP của họ cho mục đích của người chơi dẫn đầu.
Các Ví dụ Sở hữu Block Đáng chú ý
- 1.0.0.0/8 (APNIC): femboy.cat - 97,396 địa chỉ
- 3.0.0.0/8 (ARIN): jackson - 1,717 địa chỉ
- 10.0.0.0/8 (Private): jart - 1 địa chỉ
- 127.0.0.0/8 (Loopback): jart - 1 địa chỉ
- 45.0.0.0/8 (ARIN): femboy.cat - 324,193 địa chỉ
Ý nghĩa kỹ thuật
Tình huống này làm nổi bật những cân nhắc bảo mật rộng hơn cho các ứng dụng web dựa vào HTTP header để xác định client. Sự cố IPv4 Games phục vụ như một minh chứng thực tế về cách header spoofing có thể bị khai thác khi không triển khai xác thực phù hợp. Đối với các nhà phát triển, điều này củng cố tầm quan trọng của việc đối xử với header do client cung cấp với sự hoài nghi thích hợp và triển khai các cơ chế xác minh mạnh mẽ.
Trò chơi tiếp tục hoạt động với sự mất cân bằng này, phục vụ như một thí nghiệm đang diễn ra trong gaming quy mô internet và một nghiên cứu trường hợp không có chủ ý trong các lỗ hổng bảo mật ứng dụng web.
Tham khảo: Claim This Land At 61.222.241.173