2. 程式人生 > >你確信 X-Forwarded-For 拿到的就是使用者真實 IP 嗎?

你確信 X-Forwarded-For 拿到的就是使用者真實 IP 嗎?

阿新 發佈:2020-05-29

X-Forwarded-For 拿到的就是真實 IP 嗎?

1.故事

在這個小節開始前,我先講一個開發中的小故事,可以加深一下大家對這個欄位的理解。

前段時間要做一個和風控相關的需求,需要拿到使用者的 IP,開發後灰度了一小部分使用者,測試發現後臺日誌裡灰度的使用者 IP 全是異常的,哪有這麼巧的事情。隨後測試發過來幾個異常 IP:

10.148.2.122
10.135.2.38
10.149.12.33
...

一看 IP 特徵我就明白了,這幾個 IP 都是 10 開頭的,屬於 A 類 IP 的私有 IP 範圍(10.0.0.0-10.255.255.255),後端拿到的肯定是代理伺服器的 IP,而不是使用者的真實 IP。

2.原理

image-20200524154345598

現在有些規模的網站基本都不是單點 Server 了,為了應對更高的流量和更靈活的架構,應用服務一般都是隱藏在代理伺服器之後的,比如說 Nginx。

加入接入層後,我們就能比較容易的實現多臺伺服器的負載均衡和服務升級,當然還有其他的好處,比如說更好的內容快取和安全防護,不過這些不是本文的重點就不展開了。

網站加入代理伺服器後,除了上面的幾個優點,同時引入了一些新的問題。比如說之前的單點 Server,伺服器是可以直接拿到使用者的 IP 的,加入代理層後,如上圖所示,(應用)原始伺服器拿到的是代理伺服器的 IP,我前面講的故事的問題就出在這裡。

Web 開發這麼成熟的領域,肯定是有現成的解決辦法的,那就是 X-Forwarded-For 請求頭。

X-Forwarded-For 是一個事實標準,雖然沒有寫入 HTTP RFC 規範裡,從普及程度上看其實可以算 HTTP 規範了。

這個標準是這樣定義的,每次代理伺服器轉發請求到下一個伺服器時,要把代理伺服器的 IP 寫入 X-Forwarded-For 中,這樣在最末端的應用服務收到請求時,就會得到一個 IP 列表:

X-Forwarded-For: client, proxy1, proxy2

因為 IP 是一個一個依次 push 進去的,那麼第一個 IP 就是使用者的真實 IP,取來用就好了。

但是,事實有這麼簡單嗎?

3.攻擊

從安全的角度上考慮,整個系統最不安全的就是人,使用者端都是最好攻破最好偽造的。有些使用者就開始鑽協議的漏洞:X-Forwarded-For 是代理伺服器新增的,如果我一開始請求的 Header 頭裡就加了 X-Forwarded-For ,不就騙過伺服器了嗎?

1. 首先從客戶端發出請求,帶有 X-Forwarded-For 請求頭,裡面寫一個偽造的 IP:

X-Forwarded-For: fakeIP

2. 服務端第一層代理服務收到請求,發現已經有 X-Forwarded-For,誤把這個請求當成代理伺服器,於是向這個欄位追加了客戶端的真實 IP:

X-Forwarded-For: fakeIP, client

3. 經過幾層代理後,最終的伺服器拿到的 Header 是這樣的:

X-Forwarded-For: fakeIP, client, proxy1, proxy2

要是按照取 X-Forwarded-For 第一個 IP 的思路,你就著了攻擊者的道了,你拿到的是 fakeIP,而不是 client IP。

4.破招

服務端如何破招?上面三個步驟:

  • 第一步是客戶端造假,伺服器無法介入
  • 第二步是代理伺服器,可控,可防範
  • 第三步是應用伺服器,可控,可防範

第二步的破解我拿 Nginx 伺服器舉例。

我們在最外層的 Nginx 上,對 X-Forwarded-For 的配置如下:

proxy_set_header X-Forwarded-For $remote_addr;

什麼意思呢?就是最外層代理伺服器不信任客戶端的 X-Forwarded-For 輸入,直接覆蓋,而不是追加。

非最外層的 Nginx 伺服器,我們配置:

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

$proxy_add_x_forwarded_for 就是追加 IP 的意思。通過這招,就可以破解使用者端的偽造辦法。

第三步的破解思路也很容易,正常思路我們是取X-Forwarded-For 最左側的 IP,這次我們反其道而行之,從右邊數,減去代理伺服器的數目,那麼剩下的 IP 裡,最右邊的就是真實 IP。

X-Forwarded-For: fakeIP, client, proxy1, proxy2

比如說我們已知代理服務有兩層,從右向左數,把 proxy1proxy2 去掉,剩下的 IP 列表最右邊的就是真實 IP。

相關思路和程式碼實現可參考 Egg.js 前置代理模式。

5.一句話總結總結

通過 X-Forwarded-For 獲取使用者真實 IP 時,最好不要取第一個 IP,以防止使用者偽造 IP。


文章推薦

下面我要推薦我的幾篇文章:

  • 一篇介紹了 webpack 中最易混淆的 5 個知識點,掘金快 800 讚了,一文講清楚 Webpack 中那些長得像卻意義不同的概念
  • 一篇詳細介紹了 webpack dll 是個什麼東西,並且給出了 2 條最佳實踐,擺脫繁瑣的 dll 配置
  • React Native 效能優化指南從渲染層的角度分析了 RN 效能優化的 6 個點,並以圖文形式講解了 FlatList 的實現原理
  • Web Scraper——輕量資料爬取利器 介紹了一個小巧的瀏覽器爬蟲外掛,可以實現簡單的資料爬取功能

最後推薦一下我的個人公眾號:「滷蛋實驗室」,平時會分享一些前端技術和資料分析的內容,大家感興趣的話可以關注一波:


相關推薦

確信 X-Forwarded-For 到的就是使用者真實 IP

X-Forwarded-For 拿到的就是真實 IP 嗎? 1.故事 在這個小節開始前,我先講一個開發中的小故事,可以加深一下大家對這個欄位的理解。 前段時間要做一個和風控相關的需求,需要拿到使用者的 IP,開發後灰度了一小部分使用者,測試發現後臺日誌裡灰度的使用者 IP 全是異常的,哪有這麼巧的事情。隨後測

HTTP 請求頭中的 X-Forwarded-ForX-Real-IP

進行 gnu 防止 cal 截取 雲服務器 sta 分配 wow X-Forwarded-For 在使用nginx做反向代理時,我們為了記錄整個的代理過程,我們往往會在配置文件中做如下配置: location / { 省略...

X-Forwarded-For】WEB修改訪客IP

識別 int urn 開發 user p地址 連接 通過 light X-Forwarded-For(XFF)是用來識別通過HTTP代理或負載均衡方式連接到Web服務器的客戶端最原始的IP地址的HTTP請求頭字段。 Squid 緩存代理服務器的開發人員最早引入了這一HTTP

使用X-Forwarded-For字段修改報文請求ip

html code log http shadow tro ado 8.0 agen (1)訪問的原始網頁顯示,只要求127.0.0.1ip訪問(2)獲取的完整報文請求為 (3)我們將其修改,加上x-forworded-for字段 GET /from.php HTTP/1.

X-Forwarded-For偽造及防禦

logs 管理 address _for mar 地址 real 代理服務 ip訪問 使用x-Forward_for插件或者burpsuit可以改包,偽造任意的IP地址,使一些管理員後臺繞過對IP地址限制的訪問。 防護策略: 1.對於直接使用的 Web 應用,必須使用從TC

haproxy nginx X-Forwarded-For的值

toc AR 將不 註釋 寫入 IE 不同 pro except client(web 瀏覽器) ----> haproxy(acl backend)----> nginx (proxy_pass)----> java程序地址如下:1.1.1.1

X-Forwarded-For(XFF頭)

X-Forwarded-For:簡稱XFF頭,它代表客戶端,也就是HTTP的請求端真實的IP,只有在通過了HTTP 代理或者負載均衡伺服器時才會新增該項。它不是RFC中定義的標準請求頭資訊,在squid快取代理伺服器開發文件中可以找到該項的詳細介紹。標準格式如下:X-Forwarded-For:

Nginx 之 X-Forwarded-For 中首個IP一定真實

歡迎訪問陳同學部落格原文 使用 Nginx 基於客戶端IP進行限流時,需在代理中拿到客戶端真實IP。獲取IP方式有多種,如利用 remote_addr、X-Real-IP、X-Forwarded-For等。 以前看到一些專案通過獲取 X-Forwarded-

X-Forwarded-For的一些理解

X-Forwarded-For 是一個 HTTP 擴充套件頭部,主要是為了讓 Web 伺服器獲取訪問使用者的真實 IP 地址(其實這個真實未必是真實的,後面會說到)。 那為什麼 Web 伺服器只有通過 X-Forwarded-For 頭才能獲取真實的 IP? 這裡用 PHP 語言來說明,不明白原

X-Forwarded-For

    最近在專案對外聯調過程中,發現了關於XFF的問題,這裡簡單介紹下,大部分是貼維基百科中的詞條:https://zh.wikipedia.org/wiki/X-Forwarded-For     專案場

HTTP X-Forwarded-For 頭部欄位的應用

【背景】在運維工作中,經常會遇到X-Forwarded-For 這個欄位,比如nginx、haproxy、快取代理、甚至好點的網路7層網路裝置都可以修改這個欄位,這個欄位對記錄客戶端的真實IP地址非常有用,在分析nginx日誌,haproxy日誌中,經常利用這個欄位統計訪問的來源,並進一步分析問題 常見如下

HTTP X-Forwarded-For 頭部字段的應用

辦公 comm 詳細 type targe 程序 redirect blog 行修改 【背景】在運維工作中,經常會遇到X-Forwarded-For 這個字段,比如nginx、haproxy、緩存代理、甚至好點的網絡7層網絡設備都可以修改這個字段,這個字段對記錄客戶端的真實

Tomcat Access Log記錄X-Forwarded-For

在實際使用中,使用F5或LVS為tomcat做負載均衡時,由於做了反向代理,tomcat記錄的Aceess Log中,會將客戶端ip記錄為F5或lvs的ip,導致無法正常記錄訪問者的真實ip資訊. Tomcat配置中,可以通過修改AceessLogValve/Extende

【nginx】配置x-forwarded-for 頭部

本地用tomcat起了一個j2ee的應用,然後又起了一個nginx做反向代理。 nginx.conf: #user nobody; worker_processes 1; #error_log logs/error.log; #error_log logs/e

利用X-Forwarded-For進行sql注入

由於系統一般會採用String ip = request.getHeader("X-Forwarded-For");進行獲取ip,然後注入者就可以通過X-Forwarded-For請求頭資訊就行偽造ip,當然了這個ip也可以是一些注入語句,如下X-Forwarded-For:

阿里雲X-Forwarded-For 發現tomcat記錄的日誌全部來自於SLB轉發的IP地址,不能獲取到請求的真實IP

1、背景:阿里雲的SLB的負載均衡,在tomcat中獲取不到真實IP,而是阿里的內網IP,SLB中倆臺或者3臺本身是區域網,這裡是SLB原理,可以看看,沒怎麼看懂,呵呵,要細細讀下。 2、需要開啟tomcat的X-Forwarded-For,在tomcat/conf/se

apache反向代理tomcat時x-forwarded-for為null的問題

apache 在用ProxyPass時會自動在header中設定X-Forwarded-For X-Forwarded-Host和X-Forwarded-Server (http://httpd.apache.org/docs/2.2/mod/mod_proxy.html)

偽造 X-Forwarded-For

背景 應同學的要求,幫忙刷票。我上去看了一下,對方網站做了IP限制,一天之內一個IP只能投一票,並沒有使用cookie校驗,驗證碼校驗等技術,總體來說這個網站的情況是比較常見的,常見的解決辦法有兩個: 使用大量的真實IP刷票 如果你使用的是一個撥號上網的網路,每次的撥號都

X-Forwarded-For & x-real-ip

百度百科[url]http://baike.baidu.com/link?url=ulLGCvcv-OBkRMcvrasj2LxSBrmrP39K_TLeMZBN8fNI4tKhuiF7UIZqzv8dYaY2I2sI3

如何實時監測分析X-Forwarded-For偽造

元組 請求頭 刷票 應用場景 http訪問 技術 隨機 數據包 remote 什麽是X-Forwarded-For如果要問當下最走紅的應用層協議,當HTTP莫屬,一個無狀態維護協議,其連接基於TCP,在HTTP協議頭部沒有IP地址字段。所以,如果要在應用層保存IP地址信息(