雷池 WAF 如何配置才能正确获取到源 IP

于 2024-09-29 14:22:48 发布
阅读量234 收藏 5
点赞数 4
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/caomengde233/article/details/142634523
版权

经常有大哥反馈说雷池攻击日志里显示的 IP 有问题。

这里我来讲一下为什么一些情况下雷池显示的攻击 IP 会有问题。

问题说明

image.png

默认情况下,雷池会通过 HTTP 连接的 Socket 套接字读取客户端 IP。在雷池作为最外层网管设备的时候这没有问题,雷池获取到的 IP 就是攻击者的真实 IP。

但是,有些情况下我们需要在雷池前面再叠加其他代理设备(如 Nginx,CDN,应用交付,API 网管等等)。在这种情况下,实际连接雷池的不是真正的网站用户,而是这些代理设备,这种情况下我们就需要根据实际网络拓扑来调整雷池的 IP 获取方式。 ## 先了解什么是 X-Forwarded-For

X-Forwarded-For 是一个相对通用的 HTTP 请求头。

HTTP 流量在经过代理时,由于网络连接被截胡,服务器无法得知真正的客户端 IP。这时代理设备会给当前的流量加上一个 X-Forwarded-For 头,里面的内容就是连接这个代理的客户端 IP。

下面这个例子中 HTTP 代理通过 X-Forwarded-For 头告诉服务器,真正的客户端地址是 1.2.3.4

GET / HTTP/1.1 Host: demo.waf-ce.chaitin.cn User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.106 Safari/537.36 X-Forwarded-For: 1.2.3.4

X-Forwarded-For 实际上是一个链式结构。如果流量经过了多层代理设备,X-Forwarded-For 会记录途径的所有 IP。

下面这个例子中 HTTP 代理通过 X-Forwarded-For 头告诉服务器,流量经过了三层代理,真正的客户端地址是 1.2.3.4,第一层代理的是 11.12.13.14,第二层代理的地址是 21.22.23.24,第三次代理的地址可以通过 Socket 连接直接来获取。

GET / HTTP/1.1 Host: demo.waf-ce.chaitin.cn User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.106 Safari/537.36 X-Forwarded-For: 1.2.3.4, 11.12.13.14, 21.22.23.24

IP-Forwarded-For 头靠谱么

在代理设备和代理链路可信的情况下 IP-Forwarded-For 头传递的内容是很靠谱的,可以放心的试用。

但是呢,如果代理设备不可信,那么攻击者会通过伪造 IP-Forwarded-For 头的办法来实现伪造源 IP。

雷池的配置

雷池全局配置里有一个这样的选项,专门用来解决这个问题。

image.png

雷池在这个配置里提供了几个选项,根据上面讲到的知识,大家可以根据实际情况来选择最适合的选项

从网络连接中获取: 当雷池作为最外层代理设备,无其他前置代理时选用
从 X-Forwarded-For 中获取上一级代理的地址:在流量到达雷池之前还有一层代理设备(如 Nginx,CDN 等)时可选用
从 X-Forwarded-For 中获取上上一级代理的地址:在流量到达雷池之前还有两层代理设备(如 Nginx,CDN 等)时可选用
从 X-Forwarded-For 中获取上上上一级代理的地址:在流量到达雷池之前还有三层代理设备(如 Nginx,CDN 等)时可选用
从其他 HTTP Header 中获取:有几种情况
    流量经过了一些特殊的反向代理设备,这类代理不会发送 X-Forwarded-For 头,但是可以通过配置,把 IP 通过其他头发过来
    流量到达雷池有多种途径,可能有一层代理,也可能有两层代理,可以通过配置前置代理设备来统一 HTTP 头

对大多数 CDN 来说,会将 CDN 自身的 IP 也放到 XFF 中, 此时需要设置为从上上一级 获取

caomengde233
关注
网安工具系列:雷池WAF简介、上手指南(官方版本+亲测有效)
weixin_54626591的博客
02-16 1432
雷池WAF简介、上手指南(官方版本+亲测有效)
解决网站使用WAF后无法获取用户真实IP地址的问题
wavemap的博客
06-15 1614
在部署Web应用防火墙(WAF)以增强WordPress网站的安全性后,无法获取用户的真实IP地址,文章则详细介绍了如何在Nginx和Apache服务器上配置以解决这一问题。Nginx,如何使用set_real_ip_from和real_ip_header指令;Apache,如何启用并配置mod_remoteip模块。通过这些配置,WordPress可以正确记录访客的真实IP地址,从而改善日志记录和安全分析。文章包括具体的配置示例和操作步骤,确保能够顺利修改配置
用Goaccess对Web及雷池WAF日志实现可视化分析
钟言的博客
07-08 2913
本篇为使用Goaccess对Web日志以及雷池WAF日志进行可视化分析,详细内容包含了:项目环境介绍 Goaccess 1、Goaccess介绍 2、存储方式 3、配置选项 4、自定义日志/日期格式 5、特殊格式说明符 雷池访问日志 1、配置文件改变 2、docker配置 3、示例测试 四、Goaccess安装 1、安装依赖 2、编译安装 五、Goaccess对Nginx日志分析 1、常用命令参数 2、终端模式运行3、HTML模式运行 六、Goaccess对雷池日志分析 1、控制台模式 2、HTML模式等等
CentOS7雷池WAF基于Docker搭建部署
QuJJan的博客
01-17 1942
WAF 是 Web Application Firewall 的缩写,也被称为 Web 应用防火墙。区别于传统防火墙,WAF 工作在应用层,对基于 HTTP/HTTPS 协议的 Web 系统有着更好的防护效果,使其免于受到黑客的攻击长亭科技耗时近 10 年倾情打造的 WAF采用容器化部署,一条命令即可完成安装,0 成本上手安全配置开箱即用,无需人工维护,可实现安全躺平式管理。
WAF攻防—绕过IP封锁(代理池)
pingan233的博客
03-10 1859
这里演示使用扫目录来进行演示,其它的都是差不多的,在信息收集的时候,除了有些硬性的收集可以使用外部的方式来解决,比如子域名可以使用在线的子域名收集、端口收集可以使用一些在线的端口收集或者手动去扫描,但是像目录这类多数都需要使用本地的字典来扫描。至于你使用payload或者POC被拦截,这个如果说工具是开源的,那么你可以在工具中修改payload或者POC进行绕过,绕过说工具不是开源的,那么也是无法绕过的,至少说使用代理池,可以避免自己的IP被封,后续也会有更多的手动操作的机会。所以这里我们都演示一下。
SQL 注入之 WAF 绕过
2301_77160226的博客
08-28 1025
SQL 注入攻击是一种严重的安全威胁,而 WAF 是防范 SQL 注入攻击的重要手段之一。然而,攻击者也在不断寻找方法来绕过 WAF,从而成功实施 SQL 注入攻击。为了防范 WAF 绕过,我们需要采取持续更新 WAF 规则、多层面防御、安全培训和定期安全审计等措施,形成一个强大的安全防护体系,保护 Web 应用程序的安全。同时,我们也需要不断关注网络安全领域的最新动态,及时了解新的攻击技术和防范方法,以提高我们的安全防护能力。
WAF雷池waf升级体验
信安是不可或缺的一部分!
04-30 1740
最近雷池有比较大的更新,安装可以参考以前文章雷池waf安装,更新了数据统计也就是仪表板和自定义规则和通用配置还有IP高防,版本来到了v1.2.0,社区版对于普通企业和个人用户来说完全够用。新增了数据统计页面,可以直观的看到流量大小支持配置IP 提取方式,解决了源 IP 获取不对的问题支持自定义检测策略,可以动态调整检测引擎支持根据 IP 和 URL 特征配置黑白名单默认开启高防模式。
玩转系统|长亭雷池WAF详细使用教程——深入了解
Jum的博客
11-21 5115
上节我们降了WAF的注册和登录,现在我们继续深入了解。
Apache HTTP 过滤器filter、开源WAF(ModSecurity)、Apache 模块开发
西京刀客
03-08 2510
在编写Apache模块时,需要具备C或C++编程经验和对Apache Web服务器的基本了解。另外,需要参考Apache的文档和API参考手册来编写代码和构建模块。
雷池waf配置手册大全
05-16
### 雷池WAF配置手册知识点解析 #### 一、产品概述 ##### 1.1 产品介绍 雷池(SafeLine)Web应用防火墙是一款专为保护Web应用程序免受各种安全威胁而设计的安全解决方案。它通过智能语义分析技术和强大的自定义...
网安工具系列:雷池waf社区版安装、配置使用
weixin_54626591的博客
02-16 448
雷池waf社区版安装以及相关问题解决安全
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8482
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
2021中国白酒消费洞察白皮书.pdf
09-30
2021中国白酒消费洞察白皮书
基于SpringBoot+Vue3的轻量级通用后台管理系统设计源码
09-30
该项目是一款基于SpringBoot和Vue3框架构建的轻量级通用后台管理系统源码,包含717个文件,涵盖了287个Java源文件、151个Vue组件、80个TypeScript定义、54个PNG图片、39个SCSS样式表、21个XML配置文件、16个SVG图标、11个FTL模板、10个JPG图片、7个JSON配置文件。该系统设计简洁,易于上手,适用于快速搭建各类后台管理系统。
【数字信号分解】基于matlab经验小波变换EWT数字信号分解【含Matlab源码 期】.zip
09-30
CSDN海神之光上传的代码均可运行,亲测可用,直接替换数据即可,适合小白; 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b或2023b;若运行有误,根据提示修改;若不会,私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博客文章底部QQ名片; 4.1 博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 功率谱估计: 故障诊断分析: 雷达通信:雷达LFM、MIMO、成像、定位、干扰、检测、信号分析、脉冲压缩 滤波估计:SOC估计 目标定位:WSN定位、滤波跟踪、目标定位 生物电信号:肌电信号EMG、脑电信号EEG、心电信号ECG 通信系统:DOA估计、编码译码、变分模态分解、管道泄漏、滤波器、数字信号处理+传输+分析+去噪(CEEMDAN)、数字信号调制、误码率、信号估计、DTMF、信号检测识别融合、LEACH协议、信号检测、水声通信 1. EMD(经验模态分解,Empirical Mode Decomposition) 2. TVF-EMD(时变滤波的经验模态分解,Time-Varying Filtered Empirical Mode Decomposition) 3. EEMD(集成经验模态分解,Ensemble Empirical Mode Decomposition) 4. VMD(变分模态分解,Variational Mode Decomposition) 5. CEEMDAN(完全自适应噪声集合经验模态分解,Complementary Ensemble Empirical Mode Decomposition with Adaptive Noise) 6. LMD(局部均值分解,Local Mean Decomposition) 7. RLMD(鲁棒局部均值分解, Robust Local Mean Decomposition) 8. ITD(固有时间尺度分解,Intrinsic Time Decomposition) 9. SVMD(逐次变分模态分解,Sequential Variational Mode Decomposition) 10. ICEEMDAN(改进的完全自适应噪声集合经验模态分解,Improved Complementary Ensemble Empirical Mode Decomposition with Adaptive Noise) 11. FMD(特征模式分解,Feature Mode Decomposition) 12. REMD(鲁棒经验模态分解,Robust Empirical Mode Decomposition) 13. SGMD(辛几何模态分解,Spectral-Grouping-based Mode Decomposition) 14. RLMD(鲁棒局部均值分解,Robust Intrinsic Time Decomposition) 15. ESMD(极点对称模态分解, extreme-point symmetric mode decomposition) 16. CEEMD(互补集合经验模态分解,Complementary Ensemble Empirical Mode Decomposition) 17. SSA(奇异谱分析,Singular Spectrum Analysis) 18. SWD(群分解,Swarm Decomposition) 19. RPSEMD(再生相移正弦辅助经验模态分解,Regenerated Phase-shifted Sinusoids assisted Empirical Mode Decomposition) 20. EWT(经验小波变换,Empirical Wavelet Transform) 21. DWT(离散小波变换,Discraete wavelet transform) 22. TDD(时域分解,Time Domain Decomposition) 23. MODWT(最大重叠离散小波变换,Maximal Overlap Discrete Wavelet Transform) 24. MEMD(多元经验模态分解,Multivariate Empirical Mode Decomposition) 25. MVMD(多元变分模态分解,Multivariate Variational Mode Decomposition)
机器视觉框架源码,最新版本 到手vs2019可以直接编译、 视觉检测、AOI视觉检测、机械手定位、点胶机、插件机、激光切割机、视
最新发布
09-30
机器视觉框架源码,最新版本 到手vs2019可以直接编译、 视觉检测、AOI视觉检测、机械手定位、点胶机、插件机、激光切割机、视觉螺丝机、视觉贴合机、激光焊接机、视觉裁板机……, C#联合Halcon混合编程源码,插件式开发 ,带手眼标定,相机静止和运动,支持C#脚本…能让你站在巨人的肩膀上,节省重复造轮子的时间。
基于Java的Android自动生成表格框架设计源码
09-30
本项目是一款基于Java开发的Android自动生成表格框架——An Android automatically generated table framework,总计包含311个文件,涵盖150个Java源文件、67个PNG图片文件、60个XML布局文件、5个Markdown文件、5个JPG图片文件、4个Gradle配置文件、4个JAR库文件、4个GIF动画文件、3个Git忽略文件、2个属性文件和1个其他文件类型。该框架旨在为Android开发者提供高效便捷的表格生成解决方案。
docker安装雷池waf
03-21
Docker是一种开源的容器化平台,可以帮用户更轻松地创建、部署和运行应用程序。而雷池WAF(Web Application Firewall)是一种用于保护Web应用程序免受各种网络攻击的安全工具。 要在Docker中安装雷池WAF,可以按照以下步骤进行操作: 1. 首先,确保你已经安装了Docker。你可以在Docker官方网站上找到适合你操作系统的安装包,并按照官方文档进行安装。 2. 接下来,你需要获取雷池WAF的Docker镜像。你可以在雷池WAF的官方仓库或者Docker Hub上找到相应的镜像。可以使用以下命令从Docker Hub上获取雷池WAF的最新镜像: ``` docker pull leichu/waf ``` 3. 下载完镜像后,你可以使用以下命令来创建并运行一个新的容器: ``` docker run -d -p 80:80 leichu/waf ``` 这个命令将会在后台运行一个新的容器,并将容器的80端口映射到主机的80端口,这样你就可以通过主机的IP地址访问雷池WAF了。 4. 最后,你可以通过浏览器访问`http://localhost`或者`http://<主机IP地址>`来使用雷池WAF。 希望以上步骤对你有所帮助!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值