泰兴市建设局网站,小程序官网平台入口,注册城乡规划师有什么用,品牌策划 网站源码一、应用场景 在投票系统开发中#xff0c;为了防止刷票#xff0c;我们需要限制每个 IP 地址只能投票一次#xff1b;当网站受到诸如 DDoS#xff08;Distributed Denial of Service#xff0c;分布式拒绝服务攻击#xff09;等攻击时#xff0c;我们需要快速定位攻击者…一、应用场景 在投票系统开发中为了防止刷票我们需要限制每个 IP 地址只能投票一次当网站受到诸如 DDoSDistributed Denial of Service分布式拒绝服务攻击等攻击时我们需要快速定位攻击者 IP在渗透测试过程中经常会碰到网站有 CDNContent Distribution Network内容交付网络这时我们需要绕过 CDN 查找真实 IP
二、获取客户端的 IP 地址 服务端获取客户端请求IP地址常见的包括remote_addr、x-forwarded-for、client-ip 等请求头参数
remote_addr指的是当前直接请求的客户端IP地址它存在于tcp请求体中是http协议传输的时候自动添加不受请求头header的控制。因此当客户端与服务器之间不存在任何代理的时候通过remote_addr获取客户端IP地址是最准确也是最安全。remote_addr无法伪造x-forwarded-for即XFF是很多代理服务器在请求转发时添加上去的。如果客户端和服务器之间存在代理服务器那么通过remote_addr获取的IP就是代理服务器的地址并不是客户端真实的IP地址。因此需要代理服务器通常是反向代理服务器将真实客户端的IP地址转发给服务器转发时客户端的真实IP地址通常就存在于XFF请求头中。client-ip同XFF也是代理服务器添加的用于转发客户端请求的真实IP地址同样保存与请求头中。
在 Java 中获取客户端 IP 最直接的方式就是使用 request.getRemoteAddr()。这种方式在中间没有代理的情况下获取连接到服务器的客户端 IP 的最简单有效的方式。
但是目前互联网 Web 应用很少会将应用服务器直接对外提供服务一般都会有一层 Nginx 做反向代理和负载均衡有的甚至可能有多层代理。所以在有反向代理的情况下直接使用 request.getRemoteAddr() 获取到的IP地址是Nginx所在服务器的IP地址而不是客户端的 IP。
为了解决上面的问题很多 HTTP 代理会在 HTTP 协议头中添加 X-Forwarded-For 头用来追踪请求的来源X-Forwarded-For 的格式如下
X-Forwarded-For: client1, proxy1, proxy2X-Forwarded-For 包含多个 IP 地址每个值通过逗号空格分开最左边client1是最原始客户端的IP地址中间如果有多层代理每一层代理会将连接它的客户端IP追加在 X-Forwarded-For 右边。
下面就是一种常用的获取客户端真实IP的方法
public static String getRealIP(HttpServletRequest request) {String ip request.getHeader(X-Forwarded-For);if (ip ! null) {ip ip.contains(,) ? ip.split(,)[0] : ip;} else {if (ip null || ip.length() 0 || unknown.equalsIgnoreCase(ip)) {ip request.getHeader(Proxy-Client-IP);}if (ip null || ip.length() 0 || unknown.equalsIgnoreCase(ip)) {ip request.getHeader(WL-Proxy-Client-IP);}if (ip null || ip.length() 0 || unknown.equalsIgnoreCase(ip)) {ip request.getRemoteAddr();}}return ip;
}注意要让 Nginx 支持 X-Forwarded-For 头需要配置
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;$proxy_add_x_forwarded_for 会将和 Nginx 直接连接的客户端 IP 追加在请求原有 X-Forwarded-Fo r值的右边。
三、IP 伪造及解决方案 1、客户端可以伪造 X-Forwarded-For
一般的客户端例如浏览器发送HTTP请求是没有 X-Forwarded-For 头的当请求到达第一个代理服务器时代理服务器会加上 X-Forwarded-For 请求头并将值设为客户端的IP地址也就是最左边第一个值后面如果还有多个代理会依次将IP追加到 X-Forwarded-For 头最右边最终请求到达Web应用服务器应用通过获取 X-Forwarded-For 头取左边第一个IP即为客户端真实IP。
但是如果客户端在发起请求时请求头上带上一个伪造的 X-Forwarded-For由于后续每层代理只会追加而不会覆盖那么最终到达应用服务器时获取的左边第一个IP地址将会是客户端伪造的 IP。
2、解决方案配置 Nginx 反向代理
在直接对外的Nginx反向代理服务器上配置
proxy_set_header X-Forwarded-For $remote_addr;如果有多层Nginx代理内层的Nginx配置
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;在最外层 Nginx即直接对外提供服务的Nginx使用 $remote_addrb代替上面的 $proxy_add_x_forwarded_for可以防止伪造 X-Forwarded-For。$proxy_add_x_forwarded_forb会在原有 X-Forwarded-For 上追加IP这就相当于给了伪造 X-Forwarded-Fo r的机会。而 $remote_addr 是获取的是直接 TCP 连接的客户端 IP这个是无法伪造的即使客户端伪造也会被覆盖掉而不是追加。
需要注意的是如果有多层代理只在直接对外访问的 Nginx 上配置 X-Forwarded-For 为 $remote_addr内层的 Nginx 还是要配置为 $proxy_add_x_forwarded_for不然内层的 Nginx 又会覆盖掉客户端的真实IP。
完成以上配置后获取X-Forwarded-For最左边的IP地址即为真实的客户端地址且客户端也无法伪造。
