【实测】通过STUN绕过代理获取访客真实IP的可行性

前言：最近专业课有作业，选了ip追踪和反追踪这个题目，于是乎，就有了这篇文章。

首先，了解一下STUN的概念。STUN（Simple Traversal of UDP over NATs，NAT 的UDP简单穿越）是一种网络协议，它允许位于NAT（或多重NAT）后的客户端找出自己的公网地址，查出自己位于哪种类型的NAT之后以及NAT为某一 个本地端口所绑定的Internet端端口。这些信息被用来在两个同时处于NAT 路由器之后的主机之间建立UDP通信。该协议由RFC 3489定义。

Firefox 跟 Chrome支持WebRTC可以向STUN服务器请求，返回内外网IP，不同于XMLHttpRequest请求，STUN请求开发者工具当中看不到网络请求的Firefox 跟 Chrome支持WebRTC可以向STUN服务器请求，返回内外网IP，不同于XMLHttpRequest请求，STUN请求开发者工具当中看不到网络请求的！

经常玩黑的小伙伴，以为挂×××或者代理就安全了吗？小心被查水表，哈哈。下面我分别进行上述两个的实际测试。

测试代码的Github链接：https://github.com/diafygi/webrtc-ips

测试网址：http://p2j.cn/tools/ip.html （建议不要使用IE浏览器测试，当然在控制台也是可以测试的）

首先来看看google的goagent代理开启后的测试结果……好吧，本机内外网IP被获取了

##本文出自:http://zerosecurity.blog.51cto.com##

再看看使用×××的效果，本机内外网IP和×××的IP全都被获取……

so…… 你懂得

再送一枚Github相关代码：https://github.com/natevw/ipcalf/