客戶端的IP地址僞造、CDN、反向代理、獲取的那些事兒

20120917 @鄭昀彙總

外界流傳的JAVA/PHP服務器端獲取客戶端IP都是這麼取的：

僞代碼：

1）ip = request.getHeader("X-FORWARDED-FOR")

     可僞造，參考附錄A

2）若是該值爲空或數組長度爲0或等於"unknown"，那麼：

ip = request.getHeader("Proxy-Client-IP")

3）若是該值爲空或數組長度爲0或等於"unknown"，那麼：

ip = request.getHeader("WL-Proxy-Client-IP")

4）若是該值 爲空 或數組長度爲0 或等於 " unknown " ，那麼：

ip = request.getHeader("HTTP_CLIENT_IP")

    可僞造

5）若是該值爲空 或數組長度爲0 或等於"unknown " ，那麼：

ip = request.getRemoteAddr()

    可對於匿名代理服務器，可隱匿原始ip，參考附錄B

 

之因此搞這麼麻煩，是由於存在不少種網絡結構，如 Nginx+Resin、Apache+WebLogic、Squid+Nginx。下面挨個兒講一下。

鄭昀 :△

首先，明確一下，Nginx 配置通常以下所示：

              location / {
                       proxy_pass       http://yourdomain.com;
                       proxy_set_header   Host             $host;
                       proxy_set_header   X-Real-IP        $remote_addr;
                       proxy_set_header   X-Forwarded-For  $proxy_add_x_forwarded_for;
              }

注意看紅色字體，這些配置與下面的闖關拿IP有關。

 

———————————————————————————————

——第一關|X-Forwarded-For ：背景——

這是一個 Squid 開發的字段，並不是 RFC 標準。

簡稱   XFF 頭，只有在經過了 HTTP 代理或者負載均衡服務器時纔會添加該項。在 Squid 開發文檔中能夠找到該項的詳細介紹。

XFF 格式以下：

X-Forwarded-For: client1, proxy1, proxy2

能夠看出，XFF 頭信息能夠有多個，中間用逗號分隔，第一項爲真實的客戶端ip，剩下的就是曾經通過的代理或負載均衡服務器的ip地址。

 

——第一關|X-Forwarded-For ：場景=客戶端--CDN--Nginx——

當用戶請求通過 CDN 後到達 Nginx 負載均衡服務器時，其 XFF 頭信息應該爲 「客戶端IP,CDN的IP」。

通常狀況下CDN服務商出於自身安全考慮會將屏蔽CDN的ip，只保留客戶端ip。

那麼請求頭到達 Nginx 時：

• 在默認狀況下，Nginx 並不會對 XFF 頭作任何處理
• 此時 Nginx 後面的 Resin/Apache/Tomcat 經過 request.getHeader("X-FORWARDED-FOR") 得到的ip仍然是原始ip。
• 當 Nginx 設置 X-Forwarded-For 等於 $proxy_add_x_forwarded_for 時：
• 若是從CDN過來的請求沒有設置 XFF 頭（一般這種事情不會發生），XFF 頭爲 CDN 的ip
• 此時相對於 Nginx 來講，客戶端就是 CDN 
• 若是 CDN 設置了 XFF 頭，咱們這裏又設置了一次，且值爲$proxy_add_x_forwarded_for 的話：
• XFF 頭爲「客戶端IP,Nginx負載均衡服務器IP」，這樣取第一個值便可
• 這也就是你們所常見的場景！

綜上所述，XFF 頭在上圖的場景，Resin 經過  request.getHeader(" X-FORWARDED-FOR ") 得到的ip字符串，作一個split，第一個元素就是原始ip。

那麼，XFF 頭能夠僞造嗎？

 

——第一關|X-Forwarded-For ：僞造——

能夠僞造。

XFF 頭僅僅是 HTTP Headers 中的一分子，天然是能夠隨意增刪改的。如附錄A所示。

不少投票系統都有此漏洞，它們簡單地取 XFF 頭中定義的ip地址設置爲來源地址，所以第三方能夠僞造任何ip投票。

 

———————————————————————————————

——第二和第三關|Proxy-Client-IP/WL- Proxy-Client-IP  ：背景——

Proxy-Client-IP 字段和 WL-Proxy-Client-IP 字段只在 Apache（Weblogic Plug-In Enable）+WebLogic 搭配下出現，其中「WL」 就是 WebLogic 的縮寫。

即訪問路徑是：

Client -> Apache WebServer + Weblogic http plugin -> Weblogic Instances

因此這兩關對於咱們來講僅僅是兼容而已，怕你忽然把 Nginx+Resin 換成 Apache+WebLogic 。

也能夠直接忽略這兩個字段。

 

———————————————————————————————

——第四關|HTTP-Client-IP  ：背景——

HTTP_CLIENT_IP 是代理服務器發送的HTTP頭。

不少時候 Nginx 配置中也並無下面這項：

proxy_set_header HTTP_CLIENT_IP $remote_addr;

因此本關也能夠忽略。

鄭昀  :△

———————————————————————————————

——第五關| request.getRemoteAddr() ：背景——

從 request.getRemoteAddr() 函數的定義看：

    Returns the Internet Protocol (IP) address of the client or last proxy that sent the request. 

實際上，REMOTE_ADDR 是客戶端跟服務器「握手」時的IP，但若是使用了「匿名代理」，REMOTE_ADDR 將顯示代理服務器的ip，或者最後一個代理服務器的ip。請參考附錄B。 

 

綜上，

java/php 裏拿到的ip地址多是僞造的或代理服務器的ip。

 

鄭昀 :△

+++附錄A XFF 與 Nginx 配置的測試用例+++

測試環境： nginx+resin
內網IP：172.16.100.10
客戶端IP：123.123.123.123

測試頁面： test.jsp
<%
out.println("x-forwarded-for: " + request.getHeader("x-forwarded-for"));
out.println("remote hosts: " + request.getRemoteAddr());
%>

nginx 配置一

proxy_set_header X-Real-IP $remote_addr;

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

 

wget測試

wget -O aa --header="X-Forwarded-For:192.168.0.1" "http://test.com/test.jsp"

頁面返回結果：

x-forwarded-for: 192.168.0.1, 123.123.123.123

remote hosts: 172.16.100.10

 

curl測試

curl -H "X-Forwarded-For:192.168.0.1" "http://test.com/test.jsp"

x-forwarded-for: 192.168.0.1, 123.123.123.123

remote hosts: 172.16.100.10

nginx 配置二
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

wget測試：
wget -O aa --header="X-Forwarded-For:192.168.0.1" "http://test.com/test.jsp"
頁面返回結果：
x-forwarded-for: 123.123.123.123
remote hosts: 172.16.100.10

curl測試
curl -H "X-Forwarded-For:192.168.0.1" "http://test.com/test.jsp"
x-forwarded-for: 123.123.123.123
remote hosts: 172.16.100.10

測試結果：
一、配置  

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
增長了一個真實ip X-Forwarded-For，而且順序是增長到了「後面」。

二、配置  

proxy_set_header X-Forwarded-For $remote_addr;
清空了客戶端僞造傳入的X-Forwarded-For，
保證了使用 request.getHeader("x-forwarded-for") 獲取的ip爲真實ip，
或者用「,」分隔，截取 X-Forwarded-For 最後的值。

 

+++附錄B 搜狗瀏覽器高速模式的測試用例+++

訪問路徑：

搜狗瀏覽器「高速」模式（即便用代理）-->LVS-->Apache

得到的值爲：

x-forwarded-for:180.70.92.43   (即真實ip)

Proxy-Client-IP:null

WL-Proxy-Client-IP:null 

getRemoteAddr:123.126.50.185  （即搜狗代理ip）

 

 

×××參考資源：×××

1，http://bbs.linuxtone.org/thread-9050-1-1.html

2，http://hi.baidu.com/thinkinginlamp/item/e2cf05263eb4d18e6e2cc3e6

3，http://bbs.chinaunix.net/thread-3659453-1-1.html

 

贈圖2枚：