开发者社区> 郑昀> 正文

电商课题:客户端的IP地址伪造、CDN、反向代理、获取的那些事儿

2016-04-26 3419

简介:
+关注继续查看

20120917 @郑昀汇总

外界流传的JAVA/PHP服务器端获取客户端IP都是这么取的:
伪代码:
1)ip = request.getHeader("X-FORWARDED-FOR")
    可伪造,参考附录A
2)如果该值为空或数组长度为0或等于"unknown",那么:
ip = request.getHeader("Proxy-Client-IP")
3)如果该值为空或数组长度为0或等于"unknown",那么:
ip = request.getHeader("WL-Proxy-Client-IP")
4)如果该值为空或数组长度为0或等于"unknown",那么:
ip = request.getHeader("HTTP_CLIENT_IP")
    可伪造
5)如果该值为空或数组长度为0或等于"unknown",那么:
ip = request.getRemoteAddr()
    可对于匿名代理服务器,可隐匿原始ip,参考附录B
 
之所以搞这么麻烦,是因为存在很多种网络结构,如 Nginx+Resin、Apache+WebLogic、Squid+Nginx。下面挨个儿讲一下。
郑昀 :△
首先,明确一下,Nginx 配置一般如下所示:
              location / {
                       proxy_pass       http://yourdomain.com;
                       proxy_set_header   Host             $host;
                       proxy_set_header   X-Real-IP        $remote_addr;
                       proxy_set_header   X-Forwarded-For  $proxy_add_x_forwarded_for;
              }
注意看红色字体,这些配置与下面的闯关拿IP有关。
 
———————————————————————————————
——第一关|X-Forwarded-For :背景——
这是一个 Squid 开发的字段,并非 RFC 标准。
简称 XFF 头,只有在通过了 HTTP 代理或者负载均衡服务器时才会添加该项。在 Squid 开发文档中可以找到该项的详细介绍。
XFF 格式如下:
X-Forwarded-For: client1, proxy1, proxy2
可以看出,XFF 头信息可以有多个,中间用逗号分隔,第一项为真实的客户端ip,剩下的就是曾经经过的代理或负载均衡服务器的ip地址。
 
——第一关|X-Forwarded-For :场景=客户端--CDN--Nginx——
当用户请求经过 CDN 后到达 Nginx 负载均衡服务器时,其 XFF 头信息应该为 “客户端IP,CDN的IP”。
一般情况下CDN服务商出于自身安全考虑会将屏蔽CDN的ip,只保留客户端ip。
那么请求头到达 Nginx 时:
  • 在默认情况下,Nginx 并不会对 XFF 头做任何处理
    • 此时 Nginx 后面的 Resin/Apache/Tomcat 通过 request.getHeader("X-FORWARDED-FOR") 获得的ip仍然是原始ip。
  • 当 Nginx 设置 X-Forwarded-For 等于 $proxy_add_x_forwarded_for 时:
    • 如果从CDN过来的请求没有设置 XFF 头(通常这种事情不会发生),XFF 头为 CDN 的ip
      • 此时相对于 Nginx 来说,客户端就是 CDN 
    • 如果 CDN 设置了 XFF 头,我们这里又设置了一次,且值为$proxy_add_x_forwarded_for 的话:
      • XFF 头为“客户端IP,Nginx负载均衡服务器IP”,这样取第一个值即可
      • 这也就是大家所常见的场景!
http://images.cnblogs.com/cnblogs_com/zhengyun_ustc/255879/o_client-cdn-nginx-resin.png
综上所述,XFF 头在上图的场景,Resin 通过 request.getHeader("X-FORWARDED-FOR") 获得的ip字符串,做一个split,第一个元素就是原始ip。
那么,XFF 头可以伪造吗?
 
——第一关|X-Forwarded-For :伪造——
可以伪造。
XFF 头仅仅是 HTTP Headers 中的一分子,自然是可以随意增删改的。如附录A所示。
很多投票系统都有此漏洞,它们简单地取 XFF 头中定义的ip地址设置为来源地址,因此第三方可以伪造任何ip投票。
 
———————————————————————————————
——第二和第三关|Proxy-Client-IP/WL-Proxy-Client-IP :背景——
Proxy-Client-IP 字段和 WL-Proxy-Client-IP 字段只在 Apache(Weblogic Plug-In Enable)+WebLogic 搭配下出现,其中“WL” 就是 WebLogic 的缩写。
即访问路径是:
Client -> Apache WebServer + Weblogic http plugin -> Weblogic Instances
所以这两关对于我们来说仅仅是兼容而已,怕你突然把 Nginx+Resin 换成 Apache+WebLogic 。
也可以直接忽略这两个字段。
 
———————————————————————————————
——第四关|HTTP-Client-IP :背景——
HTTP_CLIENT_IP 是代理服务器发送的HTTP头。
很多时候 Nginx 配置中也并没有下面这项:
proxy_set_header HTTP_CLIENT_IP $remote_addr;
所以本关也可以忽略。
郑昀 :△
———————————————————————————————
——第五关| request.getRemoteAddr() :背景——
从 request.getRemoteAddr() 函数的定义看:
    Returns the Internet Protocol (IP) address of the client or last proxy that sent the request. 
实际上,REMOTE_ADDR 是客户端跟服务器“握手”时的IP,但如果使用了“匿名代理”,REMOTE_ADDR 将显示代理服务器的ip,或者最后一个代理服务器的ip。请参考附录B。 
 
综上,
java/php 里拿到的ip地址可能是伪造的或代理服务器的ip。
 
郑昀 :△
+++附录A XFF 与 Nginx 配置的测试用例+++
测试环境: nginx+resin
内网IP:172.16.100.10
客户端IP:123.123.123.123

测试页面: test.jsp
<%
out.println("x-forwarded-for: " + request.getHeader("x-forwarded-for"));
out.println("remote hosts: " + request.getRemoteAddr());
%>

nginx 配置一
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
 
wget测试
wget -O aa --header="X-Forwarded-For:192.168.0.1" "http://test.com/test.jsp"
页面返回结果:
x-forwarded-for: 192.168.0.1, 123.123.123.123
remote hosts: 172.16.100.10
 
curl测试
curl -H "X-Forwarded-For:192.168.0.1" "http://test.com/test.jsp"
x-forwarded-for: 192.168.0.1, 123.123.123.123
remote hosts: 172.16.100.10

nginx 配置二
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

wget测试:
wget -O aa --header="X-Forwarded-For:192.168.0.1" "http://test.com/test.jsp"
页面返回结果:
x-forwarded-for: 123.123.123.123
remote hosts: 172.16.100.10

curl测试
curl -H "X-Forwarded-For:192.168.0.1" "http://test.com/test.jsp"
x-forwarded-for: 123.123.123.123
remote hosts: 172.16.100.10

测试结果:
1、配置  
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
增加了一个真实ip X-Forwarded-For,并且顺序是增加到了“后面”。

2、配置  
proxy_set_header X-Forwarded-For $remote_addr;
清空了客户端伪造传入的X-Forwarded-For,
保证了使用 request.getHeader("x-forwarded-for") 获取的ip为真实ip,
或者用“,”分隔,截取 X-Forwarded-For 最后的值。
 
+++附录B 搜狗浏览器高速模式的测试用例+++
访问路径:
搜狗浏览器“高速”模式(即使用代理)-->LVS-->Apache
获得的值为:
x-forwarded-for:180.70.92.43   (即真实ip)
Proxy-Client-IP:null
WL-Proxy-Client-IP:null 
getRemoteAddr:123.126.50.185  (即搜狗代理ip)

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

负载均衡 应用服务中间件 Apache nginx CDN
CDN ip
开发者社区 > 云计算 > 文章
作者高分内容
更多
电商课题:客户端的IP地址伪造、CDN、反向代理、获取的那些事儿 3419 ActiveMQ:Communications link failure问题以及解决办法 3888 [开发]Resin 4.0.15配置优化的一个建议 3022 [开发]Resin 4.0.15重启时常见问题 4608 [开发]resin+spring+struts配搭在线上常见的三个问题 1863
相关文章
维他柠檬茶6
防止Censys扫描CDN源站真实IP的方法
Censys是一款用以搜索联网设备信息的新型搜索引擎,安全专家可以使用它来评估他们实现方案的安全性,而黑客则可以使用它作为前期侦查攻击目标、收集目标信息的强大利器。
72 0
幻影龙王
nginx下套cdn获取真实用户IP
nginx下套cdn获取真实用户IP
55 0
jxtxzzw
WordPress 使用 CDN 后获取访客真实 IP
WordPress 使用 CDN 后获取访客真实 IP
54 0
游客mgyx2kmo6h5zo
绕过CDN寻找真实IP
正常情况下,通过cmd命令可以快速找到域名对应IP,最常见的命令如ping、nslookup。但很多站点出于用户体验和安全的角度,使用CDN加速,将域名解析到CDN,这时候就需要绕过CDN来查找真实IP。
218 0
至察助安
绕过CDN获取服务器真实IP地址
CDN(Content Delivery Network) 内容分发网络。使用户就近获取所需内容,降低网络拥塞,提高响应速度。
116 0
李白你好
信息收集——绕过CDN查找真实IP(最实用的方法)
信息收集——绕过CDN查找真实IP(最实用的方法)
1193 0
auqbllxiu
DDoS防御选高防IP还是高防CDN?
DDoS攻击是一种主要使用带宽消耗作为攻击特征的网络攻击。攻击者通常很难独立防守。必须寻求第三方DDoS保护服务以协助防御。目前市场上有两种主要的保护方案,一种是基于CDN的DDoS防御,称为高抗CDN保护方案,另一种是基于大带宽和DDoS大DDoS清除能力的高防御节点。防御,简称高防IP。保护计划。在本文中,制墨商的安全性将详细分析和比较这两种方案的保护功能。
1563 0
西台
阿里云同时部署DDoS高防IP+CDN+WAF
2361 0
zeruns
Typecho使用CDN后获取用户真实IP
网站使用CDN后获取用户真实IP
419 0
xiaoacft
CDN加速下通过nginx获取网站访客真实IP
4711 0
+关注
郑昀
☑移动数据业务&times;6年 ☑语义聚合&times;4年 ☑O2O&times;5年的一个老兵。
文章
问答
作者高分内容
更多
电商课题:客户端的IP地址伪造、CDN、反向代理、获取的那些事儿 3419 ActiveMQ:Communications link failure问题以及解决办法 3888 [开发]Resin 4.0.15配置优化的一个建议 3022 [开发]Resin 4.0.15重启时常见问题 4608 [开发]resin+spring+struts配搭在线上常见的三个问题 1863
文章排行榜
最热
最新
1 fastjson2为什么这么快 74513
2 Meetup 报名丨 共话云原生架构升级,微服务x容器开源 Meetup 北京站来啦! 64499
3 CVPR2021 | 视觉推理解释框架VRX:用结构化视觉概念作为解释网络推理逻辑的「语言」 63483
4 结构化总结与结构化思考之《金字塔原理》总结 56274
5 C语言进阶——指针进阶试题讲解(万字长文详解) 54924
6 实现人机协同高稳定性,阿里云5G专网IoT方案入选工信部优秀解决方案 54098
7 C语言题解 | 移除元素(多种解法) 49959
8 jasypt-spring-boot敏感信息加密解密利器使用指南 47642
9 快速开发光伏电站数字孪生运维系统(一) 44651
10 DataWorks管控台无法配置PAI引擎临时解决方案 42509
11 操作系统课程设计:新增linux驱动程序 41892
12 重构的核心-让代码保持整洁 40361
13 【Linux】-- 开发工具yum、vim、gcc、g++、gdb、make、makefile使用介绍(一) 39925
14 IoT设备数据业务价值洞察实践 37957
15 【C++修炼之路】类和对象(中)—— 筑基篇 37268
16 Hive数据倾斜的原因以及常用解决方案 33175
17 高并发编程之阻塞队列 32720
18 Spring 事务【隔离级别与传播机制】 30479
19 性能优化之使用vue-worker插件(基于Web Worker)开启多线程运算提高效率 29486
20 计网之初识网络(理解网络传输的基本流程) 28006
1 Flink CDC 专题首发|每天 10 分钟,解锁新一代数据集成框架 123
2 性能最大提升60%,阿里云第八代企业级实例ECS g8i正式上线 135
3 身份证实名认证接口验证不一致的原因 107
4 JVM学习.03 类加载机制 98
5 org.springframework.http.converter.HttpMessageNotReadableException: JSON parse error: Cannot deserialize instance of `object` out of START_ARRAY token 173
6 Content type 'application/x-www-form-urlencoded;charset=UTF-8' not supported 202
7 官宣|Apache Flink 1.17 发布公告 343
8 Java智慧校园电子班牌系统源码 基于Java+springboot+vue+element-ui+mysql开发 53
9 基于阿里云eRDMA的GPU实例大幅提升多机训练性能 260
10 基于阿里云弹性GPU服务的神龙AI加速引擎无缝提升AI训练性能 204
11 重构计算,驱动视界:阿里云视觉计算思考与实践 196
12 当一座钢铁森林 变成IoT智能化数据 53
13 阿里巴巴发布《城市数字孪生能力平台总体技术要求》企业标准, 促进数字孪生互联互通生态建设 354
14 docker的安装与镜像 55
15 初识Kafka 66
16 基础篇丨链路追踪(Tracing)其实很简单 148
17 全新升级|ECS成熟度评估与洞察,助你精准定位运维风险 120
18 网络平台挑选实名制认证API接口的注意事项 130
19 vika维格表 x 阿里云计算巢:SaaS 云端私有化部署,助力企业数字化转型 318
20 为什么 C# 可能是最好的第一编程语言 178
相关课程
更多
CDN介绍及使用入门
3040
13
去学习
阿里云CDN使用教程
7242
6
去学习
通过CDN为网站提速
45
6
去学习
如何进行CDN以及下载优化分析
127
1
去学习
Clouder认证课程 - 超大流量网站的负载均衡
29
8
去学习
云安全基础课- HTTP协议基础
1167
4
去学习
推荐文章
参与OCR文档自学习产品评测,赢Airpods 2 参与云效代码管理Codeup评测,赢Redmi Watch 3 参与IoT小程序框架评测,赢CHERRY机械键盘 乘风者计划邀您入驻社区,精彩权益即刻享
相关电子书
更多
构建智能化的视频系统 阿里云CDN的进化
立即下载
CDN数据化实践
立即下载
CDN技术架构
立即下载