如何让套接字仅接受来自本地主机的连接（在 Java 中）？

Question

我有一个 java 应用程序（不在任何应用程序容器中运行），它监听 ServerSocket 的连接。 我希望它只接受来自本地主机的连接。 目前，在接受连接后，它会检查对等 IP，如果不是环回地址则拒绝它，但我知道对等 IP 地址可能会被欺骗。 因此，如果可能的话，我更愿意绑定到仅侦听环回接口的套接字； 这可能吗？

我尝试了一些不同的方法（例如在调用 bind() 时指定“127.0.0.1”作为本地地址），但没有成功。

---

更新：

我很尴尬地承认这都是我的错误。 我们的应用程序侦听两个不同的端口，我将一个端口绑定到环回接口，但对另一个端口进行测试。 当我实际尝试远程登录到正确的端口时，一切正常（即绑定到“127.0.0.1”完全符合预期）。

至于欺骗环回地址，你们是对的。 我不应该把它说成是首要问题。 实际上，所需的行为是仅采用本地连接，并且仅绑定到本地接口是实现该目标的更直接的方法，而不是接受所有连接然后关闭非本地连接。

Answer 1

对等 IP 地址不能以这种方式进行欺骗，您不必担心使用检查对等点并决定在建立过程中断开连接的技术。

但是：绑定到 127.0.0.1 应该可以工作，并导致操作系统告诉连接主机，如果它们连接到系统的其他 IP 地址之一，则没有任何监听。 你能用一个可编译的例子修改这个问题吗？ 也许你犯了一个简单的错误。

Answer 2

如果对等地址被欺骗，则您无能为力。

然而，欺骗 127.0.0.1 并不容易。 您必须有一个足够愚蠢的 TCP/IP 堆栈才能接受这样的数据包。 欺骗者无法接收回数据包。 在良好的 TCP/IP 堆栈上，它不应该能够猜测序列号，因此它无法跟上预期的对话。

Answer 3

正如您似乎已经在做的那样，无论如何，您都可以接受（）连接，然后使用 getInetAddress（） 来确保该地址是经过授权的地址。 如果没有，只需立即 close() 套接字即可。 127.0.0.1 不是一个可以被欺骗的地址。

或者，您可以安装自己的安全管理器，该管理器将使用远程站点的地址和端口调用其 checkAccept() 方法。 这有点难 - 我从未尝试过，因为第一个解决方案对我来说已经足够了。

Answer 4

if (socket.getInetAddress().isLoopbackAddress()){
    //Your code goes here
}

Answer 5

当您绑定 ServerSocket 时，指定 localhost 应该会使 TCP/IP 堆栈拒绝连接。 即使这在您的系统上不起作用，本地主机也不能（好吧，也许有人入侵了您的 TCP/IP 堆栈和默认网关路由器）被欺骗，因为该地址不是通过物理接口路由的。

我很好奇为什么你的绑定不成功，你的操作系统、Java 版本等是什么？